Данное диалоговое окно позволяет настроить основные свойства брандмауэра для каждого сетевого профиля. Также на вкладке Параметры IPsec можно настроить значения по умолчанию для нескольких конфигурационных параметров IPsec.

Чтобы открыть это диалоговое окно
  • В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» выполните одно из следующих действий:

    • В области переходов щелкните правой кнопкой мыши узел Брандмауэр Windows в режиме повышенной безопасности и выберите пункт Свойства.

    • В области навигации выберите верхний узел и затем в центральной панели в разделе Обзор щелкните Свойства брандмауэра Windows.

    • В области навигации выберите верхний узел и в панели Действия щелкните Свойства.

Вкладки «Частный профиль», «Общий профиль» и «Профиль домена»

Можно настраивать любой профиль, даже не применяемый в данный момент. Если параметры профиля не изменены, в случае использования брандмауэром Windows этого профиля применяются значения по умолчанию. Рекомендуется включить Брандмауэр Windows в режиме повышенной безопасности во всех трех профилях.

На каждой из вкладок профилей можно настроить следующие параметры:

Состояние

Выбор состояний определяет, будет ли Брандмауэр Windows в режиме повышенной безопасности использовать параметры профиля и как профиль обрабатывает входящие и исходящие сетевые сообщения.

Состояние брандмауэра

Чтобы брандмауэр Windows использовал параметры этого профиля для фильтрации сетевого трафика, выберите Включить (рекомендуется). Если выбрать Выкл, брандмауэр Windows не будет использовать ни одно из правил брандмауэра или правил безопасности подключения для данного профиля.

Важно!

Если групповая политика отключает брандмауэр Windows или брандмауэр конфигурируется с использованием правила, которое разрешает весь входящий сетевой трафик, то центр обеспечения безопасности Windows предупредит пользователя о том, что имеются проблемы безопасности, которые необходимо решить. Если пользователь попытается устранить проблему, щелкнув Включить в центре обеспечения безопасности Windows, то будет выдано сообщение об ошибке, поскольку центр обеспечения безопасности Windows не может включить брандмауэр Windows. Вследствие этого в вашу службу поддержки могут поступать нежелательные обращения. Если вы отвечаете за безопасность компьютеров в организации и не хотите, чтобы пользователи получали предупреждения центра обеспечения безопасности Windows пользователя о проблемах в системе безопасности, то можете отключить центр обеспечения безопасности Windows с помощью параметра групповой политики Включить "Центр обеспечения безопасности" (только для компьютеров в домене), перейдя в Политика локального компьютера\Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обеспечения безопасности.

Входящие подключения

Данный параметр определяет поведение для входящих подключений, не удовлетворяющих правилу входящих подключений брандмауэра. По умолчанию блокируются все подключения, если не определены правила брандмауэра, разрешающие эти подключения. Можно выбрать следующие варианты действий по умолчанию для входящих подключений:

Выделение Описание

Блокировать (по умолчанию)

Блокирует все подключения, для которых не определены правила брандмауэра, явно разрешающие эти подключения.

Блокировать все подключения

Блокирует все подключения независимо от правил брандмауэра, разрешающих эти подключения.

Разрешить

Разрешает все подключения, если подключение явно не запрещено правилом брандмауэра.

Исходящие подключения

Данный параметр определяет действия для исходящих подключений, не удовлетворяющих исходящему правилу брандмауэра. По умолчанию разрешаются все подключения, если не определены правила брандмауэра, блокирующие эти подключения. Можно выбрать следующие варианты действий по умолчанию для исходящих подключений.

Выделение Описание

Блокировать

Блокирует все подключения, для которых не определены правила брандмауэра, явно разрешающие эти подключения.

Разрешить (по умолчанию)

Разрешает все подключения, если подключение явно не запрещено правилом брандмауэра.

Внимание!

Если установить значение параметра Исходящие подключения в Блокировка, а затем внедрить политику брандмауэра с помощью объекта групповой политики, то компьютеры, для которых действует эта политика, не смогут получать последующие обновления групповой политики, пока не будет создано и применено правило исходящих подключений, разрешающее работу групповой политики. Предопределенные правила для базовых сетевых процедур включают правила исходящих подключений, разрешающие работу групповой политики. Убедитесь, что данные правила активны, и тщательно проверьте профили брандмауэра перед использованием политики.

Защищенные сетевые подключения

Эти параметры позволяют указать, какие сетевые адаптеры соответствуют конфигурации данного профиля. Нажмите кнопку Настроить - откроется диалоговое окно Настройка защищенных сетевых подключений для профиля брандмауэра.

Параметры

Эти параметры позволяют настроить установки уведомлений, одноадресных ответов на многоадресные или широковещательные запросы и объединения правил групповой политики. Нажмите кнопку Настроить - откроется диалоговое окно Настройка параметров для профиля брандмауэра.

Ведение журнала

Используйте эти параметры для настройки способа ведения брандмауэром Windows в режиме повышенной безопасности журнала событий, размера и размещения файла журнала. Нажмите кнопку Настроить - откроется диалоговое окно Настройка параметров ведения журнала для профиля брандмауэра.

Вкладка «Параметры IPsec»

Эта вкладка позволяет настроить параметры IPsec по умолчанию и параметры на уровне системы.

Параметры IPsec по умолчанию

Эти параметры предназначены для защиты сетевого трафика и позволяют настроить обмен ключами, защиту данных и методы проверки подлинности, используемые протоколом IPsec. Нажмите кнопку Настроить - откроется диалоговое окно Выбор параметров IPSec.

Исключения IPsec

Этот параметр позволяет установить, будет ли протокол IPsec защищать сетевой трафик, содержащий пакеты ICMP.

Протокол ICMP широко используется инструментами и процедурами сетевой диагностики. Многие сетевые администраторы исключают пакеты ICMP из-под защиты протокола IPsec, вследствие чего эти сообщения не блокируются.

Важно!

Этот параметр исключает пакеты ICMP из-под защиты протокола IPsec только для брандмауэра Windows в режиме повышенной безопасности. Чтобы гарантировать, что пакеты ICMP проходят через брандмауэр Windows, необходимо создать и включить правило входящих подключений.

Примечание

Если в центре управления сетями и общим доступом было разрешено совместное использование файлов и принтеров, Брандмауэр Windows в режиме повышенной безопасности автоматически включит правила брандмауэра, которые разрешат наиболее часто используемые типы пакетов ICMP. Но при этом также будут включены сетевые функции, которые не имеют отношения к ICMP. Если необходимо разрешить только пакеты ICMP, в брандмауэре Windows создайте и включите правило, разрешающее входящие сетевые пакеты ICMP.

Авторизация туннеля IPSec

Используйте этот параметр, если имеется правило подключения безопасности, создающее подключение туннельного режима IPSec от удаленного компьютера к локальному, и требуется указать пользователей и компьютеры, которым запрещается или разрешается доступ к локальному компьютеру через этот туннель. Выберите переключатель Дополнительно и нажмите кнопку Настроить - откроется диалоговое окно Настройка авторизации туннелирования IPSec.

Указанные здесь настройки авторизации действуют только для тех правил туннеля, для которых в диалоговом окне Настройка параметров туннелирования IPsec был установлен флажок Применить авторизацию.


Содержание