To okno dialogowe służy do konfigurowania podstawowych właściwości zapory dla poszczególnych profilów sieci. Można też użyć karty Ustawienia protokołu IPSec, aby skonfigurować wartości domyślne dla różnych opcji konfiguracji protokołu IPsec.

Aby uzyskać dostęp do tego okna dialogowego
  • W przystawce Zapora systemu Windows z zabezpieczeniami zaawansowanymi programu MMC wykonaj jeden z następujących kroków:

    • W okienku nawigacji kliknij prawym przyciskiem myszy pozycję Zapora systemu Windows z zabezpieczeniami zaawansowanymi, a następnie kliknij polecenie Właściwości.

    • Zaznacz górny węzeł w okienku nawigacji, a następnie w okienku środkowym, w sekcji Przegląd, kliknij pozycję Właściwości Zapory systemu Windows.

    • Zaznacz górny węzeł w okienku nawigacji, a następnie w okienku Akcje kliknij przycisk Właściwości.

Karty Profil domeny, Profil prywatny i Profil publiczny

Możliwe jest skonfigurowanie dowolnego profilu, nawet takiego, który nie jest aktualnie stosowany. Jeśli ustawienia profilu nie zostaną zmienione, ich wartości domyślne są stosowane za każdym razem, gdy aplikacja Zapora systemu Windows z zabezpieczeniami zaawansowanymi używa danego profilu. Zalecane jest włączenie aplikacji Zapora systemu Windows z zabezpieczeniami zaawansowanymi dla wszystkich trzech profilów.

Na każdej karcie profilu można skonfigurować następujące ustawienia:

Stan

Wybór stanu decyduje o stosowaniu przez aplikację Zapora systemu Windows z zabezpieczeniami zaawansowanymi ustawień profilu oraz sposobie obsługi ruchu przychodzącego i wychodzącego przez ten profil.

Stan zapory

Wybierz opcję Włącz (zalecane), aby Zapora systemu Windows stosowała ustawienia profilu do filtrowania ruchu w sieci. Jeżeli wybierzesz opcję Wyłącz, Zapora systemu Windows nie będzie stosowała żadnych reguł zapory ani reguł zabezpieczeń połączeń określonych w tym profilu.

Ważne

Jeśli Zapora systemu Windows zostanie wyłączona za pomocą zasad grupy lub skonfigurowana za pomocą reguły zezwalającej na przychodzący ruch sieciowy, Centrum zabezpieczeń systemu Windows ostrzeże użytkownika o występowaniu problemów dotyczących bezpieczeństwa, które użytkownik powinien rozwiązać. Jeżeli użytkownik spróbuje rozwiązać zgłoszony problem, klikając pozycję Włącz w Centrum zabezpieczeń systemu Windows, zostanie wyświetlony komunikat o błędzie, ponieważ Centrum zabezpieczeń systemu Windows nie może włączyć Zapory systemu Windows. Może to spowodować wygenerowanie niepożądanych wezwań pomocy technicznej. Jeśli zarządzasz zabezpieczeniami komputerów w organizacji i nie chcesz, aby Centrum zabezpieczeń systemu Windows ostrzegało użytkowników o problemach dotyczących zabezpieczeń, można wyłączyć Centrum zabezpieczeń systemu Windows za pomocą ustawienia zasad grupy Włącz Centrum zabezpieczeń (tylko komputery domeny) znajdującego się w lokalizacji Lokalne zasady komputera\Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Centrum zabezpieczeń.

Połączenia przychodzące

To ustawienie określa zachowanie połączeń przychodzących, które nie spełniają kryteriów reguły zapory dla ruchu przychodzącego. Domyślne zachowanie polega na blokowaniu wszystkich połączeń poza tymi, dla których istnieją reguły zapory zezwalające na połączenie. Można wybrać następujące zachowania dla połączeń przychodzących:

Opcja Opis

Zablokuj (domyślne)

Blokowanie wszystkich połączeń, dla których nie ma reguł zapory jawnie zezwalających na połączenie.

Zablokuj wszystkie połączenia

Blokowanie wszystkich połączeń, niezależnie od reguł zapory jawnie zezwalających na połączenie.

Zezwalaj

Zezwolenie na połączenia poza tymi, dla których istnieje reguła zapory jawnie blokująca połączenie.

Połączenia wychodzące

To ustawienie określa zachowanie połączeń wychodzących, które nie spełniają kryteriów reguły zapory dla ruchu wychodzącego. Domyślne zachowanie polega na zezwalaniu na wszystkie połączenia poza tymi, dla których istnieją reguły zapory blokujące połączenie. Można wybrać następujące zachowania dla połączeń wychodzących:

Opcja Opis

Zablokuj

Blokowanie wszystkich połączeń, dla których nie ma reguł zapory jawnie zezwalających na połączenie.

Zezwalaj (domyślnie)

Zezwolenie na połączenia poza tymi, dla których istnieje reguła zapory jawnie blokująca połączenie.

Przestroga

Jeżeli opcję Połączenia wychodzące ustawiono na Blokuj, a następnie wdrożono zasadę zapory za pomocą obiektu zasad grupy (GPO), komputery, które ją odbiorą, nie będą odbierały kolejnych aktualizacji zasad grupy. Aby temu zaradzić, należy utworzyć i wdrożyć regułę dla ruchu wychodzącego, która będzie zezwalała na działanie zasad grupy. Wstępnie zdefiniowane reguły dla podstawowych usług sieciowych zawierają reguły ruchu wychodzącego, które umożliwiają działanie Zasad grupy. Należy się upewnić, czy takie reguły dotyczące ruchu wychodzącego zostały uaktywnione, oraz dogłębnie przetestować profile zapory przed wdrożeniem zasady.

Zabezpieczone połączenia sieciowe

Te ustawienia służą do określania, które karty sieciowe są objęte konfiguracją tego profilu. Kliknij przycisk Dostosuj, aby wyświetlić okno dialogowe Dostosowywanie zabezpieczonych połączeń sieciowych dla profilu zapory.

Ustawienia

Te ustawienia służą do konfigurowania ustawień powiadomień, odpowiedzi emisji pojedynczej na ruch multiemisji lub emisji i scalanie reguł zasad grupy. Kliknij przycisk Dostosuj, aby wyświetlić okno dialogowe Dostosowywanie ustawień profilu zapory.

Rejestrowanie

Te ustawienia służą do konfigurowania sposobu rejestrowania przez aplikację Zapora systemu Windows z zabezpieczeniami zaawansowanymi zdarzeń, rozmiaru pliku dziennika i jego lokalizacji. Kliknij przycisk Dostosuj, aby wyświetlić okno dialogowe Dostosowywanie ustawień rejestrowania w profilu zapory.

Karta Ustawienia protokołu IPSec

Ta karta umożliwia skonfigurowanie wartości domyślnych i ustawień protokołu IPsec na poziomie systemu.

Wartości domyślne IPsec

Te ustawienia służą do skonfigurowania wymiany kluczy, ochrony danych i metod uwierzytelniania używanych przez protokół IPsec w celu ułatwienia ochrony ruchu sieciowego. Kliknij przycisk Dostosuj, aby wyświetlić okno dialogowe Dostosowywanie ustawień protokołu IPSec.

Wykluczenia IPsec

Ta opcja umożliwia określenie, czy ruch sieciowy zawierający komunikaty protokołu komunikacyjnego sterowania Internetem (ICMP) jest chroniony przez protokół IPsec.

Protokół ICMP jest powszechnie używany przez narzędzia i procedury rozwiązywania problemów z siecią. Wielu administratorów sieci wyklucza pakiety protokołu ICMP z ochrony za pomocą protokołu IPsec, aby mieć pewność, że te komunikaty nie będą blokowane.

Ważne

To ustawienie wyklucza protokół ICMP wyłącznie z części protokołu IPsec aplikacji Zapora systemu Windows z zabezpieczeniami zaawansowanymi. Aby zapewnić, że pakiety protokołu ICMP będą dozwolone w Zaporze systemu Windows, należy utworzyć i włączyć regułę ruchu przychodzącego.

Uwaga

Jeżeli w Centrum sieci i udostępniania zostanie włączone udostępnianie plików i drukarek, aplikacja Zapora systemu Windows z zabezpieczeniami zaawansowanymi automatycznie włącza reguły zapory zezwalające na powszechnie używane typy pakietów protokołu ICMP. Powoduje to jednak włączenie również funkcji sieci niezwiązanych z protokołem ICMP. Aby włączyć wyłącznie protokół ICMP, utwórz i włącz w Zaporze systemu Windows regułę zezwalającą na przychodzące pakiety sieciowe protokołu ICMP.

Uwierzytelnianie tunelu IPsec

Tej opcji należy używać dla reguły zabezpieczeń połączeń tworzącej połączenie w trybie tunelowania IPsec między komputerem zdalnym a komputerem lokalnym, jeśli mają zostać określeni użytkownicy i komputery, którym udzielny lub odmawiany jest dostęp przez tunel do komputera lokalnego. Wybierz opcję Zaawansowane, a następnie kliknij przycisk Dostosuj, aby wyświetlić okno dialogowe Dostosowywanie autoryzacji tunelu IPsec.

Określone tutaj uwierzytelnienia są aktywne tylko dla tych reguł tunelu, dla których wybrano opcję Zastosuj uwierzytelnianie w oknie dialogowym Dostosowywanie ustawień tunelowania IPsec.


Spis treści