Kreator konfiguracji zabezpieczeń umożliwia tworzenie reguł zapory, które pozwalają komputerowi na komunikację (wysyłanie i odbieranie danych) z programami, usługami systemowymi, komputerami lub użytkownikami. Reguły zapory mogą być utworzone do wykonywania jednej z trzech akcji dla wszystkich połączeń odpowiadających kryteriom reguły: zezwalanie na połączenie, zezwalanie na połączenie tylko wtedy, gdy jest ono zabezpieczone przez protokół IPsec, lub blokowanie połączenia.

Ważne

Reguły zapory zezwalają na ruch przez zaporę, ale nie zabezpieczają go. Aby zabezpieczyć ruch za pomocą protokołu IPsec, można utworzyć reguły zabezpieczeń połączeń. Jednak utworzenie reguły zabezpieczeń połączeń nie zezwala na ruch przez zaporę. Aby zezwolić na ruch przez zaporę, należy utworzyć regułę zapory, jeśli ruch nie jest dozwolony przez domyślne działanie zapory. Reguły zabezpieczeń połączeń nie są stosowane do programów ani usług; są stosowane między dwoma komputerami. Do tworzenia reguł zabezpieczeń połączeń trzeba użyć przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi (FW.msc).

Karta Ogólne

Reguły można tworzyć dla ruchu przychodzącego lub wychodzącego. Reguła może być skonfigurowana tak, aby określała program, usługę, protokół lub port. W przypadku zmian środowiska informatycznego reguły można zmieniać, tworzyć lub usuwać.

Reguły zapory są stosowane w następującej kolejności:

  • Obejście uwierzytelnione (reguły, które zastępują reguły blokowania)

  • Blokuj połączenie

  • Zezwalaj na połączenie

Reguły przychodzące

Reguły przychodzące wyraźnie zezwalają na ruch lub wyraźnie blokują próby uzyskania dostępu do komputera spełniające kryteria podane w regule. Na przykład można skonfigurować regułę wyraźnie zezwalającą na ruch zabezpieczony protokołem IPsec dla Pulpitu zdalnego przez zaporę, ale blokującą ten sam ruch, jeśli nie jest zabezpieczony protokołem IPsec. Po pierwszej instalacji systemu Windows ruch przychodzący jest blokowany i trzeba utworzyć regułę dla połączeń przychodzących.

Reguły wychodzące

Reguły wychodzące wyraźnie zezwalają na ruch z komputera spełniający kryteria podane w regule lub wyraźnie go blokują. Można na przykład skonfigurować regułę wyraźnie blokującą ruch wychodzący do określonego komputera przez zaporę, ale zezwalającą na ten sam ruch do innych komputerów. Ruch wychodzący jest domyślnie dozwolony. Aby zablokować ten ruch, należy utworzyć regułę wychodzącą.

Karta Programy i usługi

Ponieważ Zapora systemu Windows z zabezpieczeniami zaawansowanymi domyślnie blokuje cały niechciany przychodzący ruch TCP/IP, konieczne może się okazać skonfigurowanie reguł programu, portu i usługi systemowej dla programów lub usług działających jako serwery, odbiorniki bądź elementy równorzędne. Reguły programu, portu i usługi systemowej muszą być zarządzane w miarę zmian ról i konfiguracji serwera.

Ważne

Ustawienia reguły zapory podnoszą poziom ograniczeń kryteriów, w przypadku których żądania połączeń będą zgodne z regułą. Jeśli na przykład na karcie Programy i usługi nie zostanie określony program ani usługa, wszystkie programy i usługi spełniające inne kryteria będą mogły nawiązać połączenie. Dlatego dodanie bardziej szczegółowych kryteriów powoduje, że reguła jest bardziej restrykcyjna i mniej prawdopodobna jest zgodność z nią.

Aby dodać program do listy reguł, należy określić pełną ścieżkę do pliku wykonywalnego (exe) używanego przez ten program. Usługa systemowa uruchamiająca własny unikatowy plik exe i nieprzechowywana w żadnym kontenerze usługi jest traktowana jak program i może być dodana do listy reguł. Program zachowujący się jak usługa systemowa i działający niezależnie od tego, czy użytkownik jest zalogowany do komputera czy nie, jest także traktowany jak program, o ile uruchamia własny unikatowy plik exe.

Przestroga

Dodanie do listy reguł programów zawierających usługi, takich jak Svchost.exe, Dllhost.exe i Inetinfo.exe, bez dalszego ograniczenia reguły może narazić komputer na zagrożenia bezpieczeństwa. Ponadto dodanie tych programów może powodować konflikt z innymi zasadami zabezpieczającymi usługi na komputerach z systemem Windows Server 2008 R2 lub Windows Server 2008.

Po dodaniu programu do listy reguł Zapora systemu Windows z zabezpieczeniami zaawansowanymi dynamicznie otwiera (odblokowuje) i zamyka (blokuje) wymagane porty dla tego programu. Gdy program działa i nasłuchuje ruchu przychodzącego, Zapora systemu Windows z zabezpieczeniami zaawansowanymi otwiera żądane porty, a gdy program nie działa lub nie nasłuchuje ruchu przychodzącego, Zapora systemu Windows z zabezpieczeniami zaawansowanymi zamyka porty. Z powodu dynamicznego działania dodanie programów do listy reguł jest zalecaną metodą zezwolenia na niechciany ruch przychodzący przez Zaporę systemu Windows z zabezpieczeniami zaawansowanymi.

Uwaga

Aby zezwolić na niechciany ruch przychodzący przez Zaporę systemu Windows z zabezpieczeniami zaawansowanymi, można użyć reguł programu tylko wtedy, gdy do tworzenia przypisań portów program używa usługi Windows Sockets (Winsock). Jeśli program nie używa usługi Winsock do przypisywania portów, należy rozpoznać porty używane przez program i dodać je do listy reguł.

Karta Protokoły i porty

W niektórych przypadkach, jeśli nie można dodać programu lub usługi systemowej do listy reguł, należy określić porty używane przez program lub usługę systemową i wtedy dodać je do listy reguł Zapory systemu Windows z zabezpieczeniami zaawansowanymi.

Na karcie Protokoły i porty można wybrać z listy jeden z najczęściej używanych protokołów wraz ze skojarzonym numerem. Jeśli protokołu, który ma zostać dodany, nie ma na liście, można wybrać pozycję Niestandardowy i określić numer protokołu.

W przypadku wybrania protokołu TCP lub UDP można określić porty lokalne i zdalne, do których będzie się odnosiła reguła. Gdy do listy reguł zostanie dodany port TCP lub UDP, jest on otwierany (odblokowywany) za każdym razem, gdy jest uruchomiona Zapora systemu Windows z zabezpieczeniami zaawansowanymi - bez względu na to, czy inny program lub usługa systemowa prowadzi nasłuch ruchu przychodzącego na tym porcie. Jeśli więc jest konieczne zezwolenie na niechciany ruch przychodzący przez Zaporę systemu Windows z zabezpieczeniami zaawansowanymi, należy zamiast reguły portu utworzyć regułę programu.

Karta Zakres

Za pomocą karty Zakres można określić adres IP, maskę podsieci lub zakres adresów IP. Można stosować adresy IPv4 i IPv6.

Lokalne adresy IP

Pozycja Lokalne adresy IP umożliwia konfigurowanie reguły zapory, która będzie stosowana, gdy komputer docelowy będzie komputerem lokalnym. Stosowanie reguły do komputera lokalnego można bliżej zdefiniować, określając adres IP lub przedział adresów IP (w przypadku stosowania reguły do komputerów z pewnej gałęzi sieci).

Zdalne adresy IP

Pozycja Zdalne adresy IP umożliwia konfigurowanie reguły zapory, która będzie stosowana, gdy komputer docelowy będzie komputerem zdalnym. Stosowanie reguły do komputera zdalnego można bliżej zdefiniować, określając adres IP lub przedział adresów IP (w przypadku stosowania reguły do komputerów z pewnej gałęzi sieci).

Informacje o określaniu adresów IP

  • IPv4. Jeśli w sieci jest stosowane adresowanie IPv4, należy określić jeden adres IP, np. 172.30.160.169, lub maskę podsieci, np. 146.53.0.0/24.

  • IPv6. Jeśli w sieci jest stosowane adresowanie IPv6, jeden adres IP można określić jako składający się z ośmiu bloków czterocyfrowych liczb szesnastkowych oddzielanych dwukropkami (lub w równoważnym dozwolonym formacie) albo jako maskę podsieci.

  • W przypadku obu formatów przedział adresów określa się, podając pierwszy (Od) i ostatni (Do) adres IP zawarty w regule.

Dodatkowe informacje