Yazılım Yapılandırma Sihirbazı'nı (SCW) kullanarak, bu bilgisayarın programlara, sistem hizmetlerine, bilgisayarlara veya kullanıcılara trafik göndermesine veya onlardan trafik almasına izin verecek güvenlik duvarı kuralları oluşturabilirsiniz. Güvenlik duvarı kuralları kuralın ölçütüyle eşleşen tüm bağlantılar için üç eylemden biri uygulanacak şekilde oluşturulabilir: bağlantıya izin verme, yalnızca Internet Protokolü güvenliği (IPsec) kullanımı aracılığıyla güvenliği sağlanmış bağlantıya izin verme veya bağlantıyı açıkça engelleme.
 | Önemli |
|
Güvenlik duvarı kuralları güvenlik duvarı aracılığıyla trafiğe izin verir, ancak bu trafiğin güvenliğini sağlamaz. Trafiğin güvenliğini IPsec ile sağlamak için, bağlantı güvenliği kuralları oluşturabilirsiniz. Ancak, bir bağlantı güvenliği kuralının oluşturulması trafiğe güvenlik duvarı üzerinden izin vermez. Güvenlik duvarının varsayılan davranışıyla trafiğe izin verilmiyorsa, bunu yapmak için bir güvenlik duvarı kuralı oluşturmalısınız. Bağlantı güvenliği kuralları programlara veya hizmetlere uygulanmaz; iki bilgisayar arasında uygulanırlar. Bağlantı güvenliği kuralları oluşturmak için Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı ek bileşeninin (FW.msc) kullanılması gerekir. |
Genel sekmesi
Hem gelen hem de giden trafik için kurallar oluşturulabilir. Kural programı, hizmeti, protokolü veya bağlantı noktasını belirtecek biçimde yapılandırılabilir. BT ortamınız değiştikçe kuralları değiştirebilir oluşturabilir veya silebilirsiniz.
Güvenlik duvarı kuralları aşağıdaki öncelik sırasına göre uygulanır:
-
Yetkili atlama (engelleme kurallarını geçersiz kılan kurallar)
-
Bağlantıyı engelle
-
Bağlantıya izin ver
Gelen kuralları
Gelen kuralları, yalnızca kuraldaki ölçütlerle eşleşen bilgisayara erişmeye çalışan trafiğe izin verir veya engeller. Örneğin, güvenlik duvarı aracılığıyla Uzak Masaüstü için IPsec tarafından güvenliği sağlanmış trafiğe açık olarak izin verecek, ancak IPsec tarafından güvenliği sağlanmamışsa aynı trafiği engelleyecek bir kural yapılandırabilirsiniz. Windows ilk yüklendiğinde, gelen trafik engellenir; trafiğe izin vermek için, bir gelen kuralı oluşturmalısınız.
Giden kuralları
Giden kuralları, yalnızca kuraldaki ölçütlerle eşleşen bilgisayardan kaynaklanan trafiğe izin verir veya engeller. Örneğin, belirli bir bilgisayara giden trafiği güvenlik duvarı aracılığıyla engelleyen bir kural yapılandırabilir, ancak diğer bilgisayarlar için aynı trafiğe izin verebilirsiniz. Giden trafiğe varsayılan olarak izin verilir, bu nedenle trafiği engellemek için bir giden kuralı oluşturmanız gerekir.
Programlar ve Hizmetler sekmesi
Gelişmiş Güvenlik Özellikleri İçeren Windows Güvenlik Duvarı tüm gelen istenmeyen TCP/IP trafiğini varsayılan olarak engellediği için, sunucu, dinleyici veya eş işlevi gören tüm programlar veya hizmetler için program, bağlantı noktası ve sistem hizmet kurallarını yapılandırmanız gerekebilir. Program, bağlantı noktası ve sistem hizmet kuralları, sunucu rolleriniz ve yapılandırmalarınız değiştikçe sürekli olarak yönetilmelidir.
| Önemli |
|
Güvenlik duvarı kuralının ayarları, bağlantı isteklerinin kuralla eşleşeceği ölçütlere artan düzeylerde kısıtlama getirir. Örneğin, Program ve Hizmetler sekmesinde bir program veya hizmet belirtmezseniz, diğer ölçütlerle eşleştiklerinde tüm programlara ve hizmetlere bağlanma izni verilir. Bu nedenle, daha ayrıntılı ölçütler eklemek kuralı giderek daha kısıtlayıcı ve eşleşmesi daha güç yapar. |
Kural listesine program eklemek için, programın kullandığı yürütülebilir (.exe) dosyanın tam yolunu belirtmeniz gerekir. Kendi benzersiz .exe dosyası içinde çalışan ve bir hizmet kapsayıcısı tarafından barındırılmayan sistem hizmeti, bir program olarak kabul edilir ve kural listesine eklenebilir. Aynı şekilde, bir sistem hizmeti gibi davranan ve kullanıcının bilgisayarda oturum açmış olmasına bağlı olmadan çalışan bir program da kendi benzersiz .exe dosyası içinde çalıştığı sürece, bir program olarak kabul edilir.
 | Dikkat |
|
Svchost.exe, Dllhost.exe ve Inetinfo.exe gibi hizmetleri barındıran programları, kuralda başka kısıtlamalar yapmadan kural listesine eklemek, bilgisayar için güvenlik tehditleri doğurabilir. Bu programları eklemek, Windows Server 2008 R2 veya Windows Server 2008 çalışan bilgisayarlardaki diğer hizmet sağlamlaştırma ilkeleriyle de çakışabilir. |
Kural listesine bir program eklediğinizde, Gelişmiş Güvenlik Özellikleri İçeren Windows Güvenlik Duvarı, program için gereken bağlantı noktalarını dinamik olarak açar (engelini kaldırır) ve kapatır (engeller). Program gelen trafiği çalıştırır veya dinlerken, Gelişmiş Güvenlik Özellikleri İçeren Windows Güvenlik Duvarı gereken bağlantı noktalarını açar; program gelen trafiği çalıştırmadığında veya dinlemediğinde, Gelişmiş Güvenlik Özellikleri İçeren Windows Güvenlik Duvarı bağlantı noktalarını kapatır. Bu dinamik davranış nedeniyle, programları kural listesine eklemek, istenmeyen gelen trafiğe Gelişmiş Güvenlik Özellikleri İçeren Windows Güvenlik Duvarı aracılığıyla izin vermek için önerilen yöntemdir.
 | Not |
|
Yalnızca program bağlantı noktası atamaları oluşturmak için Windows Sockets (Winsock) kullandığında, istenmeyen gelen trafiğe Gelişmiş Güvenlik Özellikleri İçeren Windows Güvenlik Duvarı aracılığıyla izin vermek için program kurallarını kullanabilirsiniz. Program bağlantı noktası atamak için Winsock kullanmıyorsa, programın hangi bağlantı noktalarını kullandığını belirlemeniz ve o bağlantı noktalarını kural listesine eklemeniz gerekir. |
Protokoller ve Bağlantı Noktaları sekmesi
Bazı durumlarda, bir programı veya sistem hizmetini kural listesine ekleyemiyorsanız, programın veya sistem hizmetinin hangi bağlantı noktasını veya bağlantı noktalarını kullandığını belirlemeniz, sonra da bu bağlantı noktasını veya bağlantı noktalarını Gelişmiş Güvenlik Özellikleri İçeren Windows Güvenlik Duvarı kural listesine eklemeniz gerekir.
Protokoller ve Bağlantı Noktaları sekmesinde, en yaygın şekilde kullanılan protokolleri ve bunların ilişkili protokol numaralarını içeren bir listenden seçim yapabilirsiniz. Eklemeniz gereken protokol listede yoksa, Özel'i seçip protokol numarasını belirtebilirsiniz.
TCP veya UDP protokollerinden birini seçerseniz, kuralın geçerli olduğu yerel ve uzak bağlantı noktalarını belirtebilirsiniz. Kural listesine TCP veya UDP bağlantı noktası eklediğinizde, Gelişmiş Güvenlik Özellikleri İçeren Windows Güvenlik Duvarı her çalıştığında, bağlantı noktasında gelen trafiği dinleyen bir program veya sistem hizmeti olsun ya da olmasın, bağlantı noktası açılır (engeli kaldırılır). Bu nedenle, istenmeyen gelen trafiğe Gelişmiş Güvenlik Özellikleri İçeren Windows Güvenlik Duvarı aracılığıyla izin vermeniz gerekiyorsa, bağlantı noktası kuralı yerine bir program kuralı oluşturmanız gerekir.
Kapsam sekmesi
Bir IP adresi, alt ağ veya IP adresleri aralığı belirtmek için Kapsam sekmesini kullanın. IPv4 ve IPv6 IP adreslerinin her ikisini de kullanabilirsiniz.
Yerel IP adresleri
Yerel IP Adresleri'nin altında, hedef bilgisayar yerel bilgisayar olduğunda uygulanacak güvenlik duvarı kuralını yapılandırabilirsiniz. Kuralı ağınızın belirli bir kolunda bulunan bilgisayarlara uygulamak için IP adresi veya IP adres aralığı belirterek, kuralın yerel bilgisayara ne zaman uygulanacağını daha ayrıntılı olarak tanımlayabilirsiniz.
Uzak IP adresleri
Uzak IP Adresleri'nin altında, hedef bilgisayar uzaktaki bir bilgisayar olduğunda uygulanacak güvenlik duvarı kuralını yapılandırabilirsiniz. Kuralı ağınızın belirli bir kolunda bulunan bilgisayarlara uygulamak için IP adresi veya IP adres aralığı belirterek, kuralın uzak bilgisayarlara ne zaman uygulanacağını daha ayrıntılı olarak tanımlayabilirsiniz.
IP adresleri belirtme hakkında
-
IPv4. Ağınız IPv4 adresleri kullanıyorsa, 172.30.160.169 bir bir IP adresi veya 146.53.0.0/24 gibi bir alt ağ belirtebilirsiniz.
-
IPv6. Ağınız IPv6 adresleri kullanıyorsa, tek bir IP adresini, bir birinden iki nokta üst üste karakteriyle ayrılmış dört adet onaltılık sayıdan oluşan sekiz takım halinde (veya izin verilen eşdeğer bir biçimde) veya bir alt ağ olarak belirtebilirsiniz.
-
Her iki biçimde de, bir adres aralığı belirtmek için, kurala dahil olan ilk (Başlangıç) ve son (Bitiş) IP adreslerini belirtmeniz yeterlidir.