Sterowanie zaporą Windows z poziomu konsoli tekstowej

Choć zapora Windows zapewnia wygodny interfejs graficzny, zaawansowani użytkownicy preferują obsługę w trybie tekstowym. Możesz sterować firewallem za pomocą funkcjonalnej powłoki PowerShell.

Użytkownik, który ma pod opieką więcej niż jeden system Windows, stara się konfigurować jego wewnętrzną zaporę sieciową najłatwiej i najszybciej, jak to możliwe, a więc poprzez konsolę tekstową. Dotychczas robiło się to za pomocą polecenia Netsh, lecz w nowszych wersjach Windows producent coraz bardziej promuje interpreter PowerShell, który pozwala administratorom znacznie szybciej wykonywać większość zadań.

Zarówno popularne obecnie systemy Windows 7 i Windows Server 2008 R2, jak i najnowsze edycje Windows 8 i Windows Server 2012 zapewniają interfejs graficzny, który pozwala łatwo konfigurować i obsługiwać Zaporę systemu Windows z zabezpieczeniami zaawansowanymi (tak brzmi jej pełna, oficjalna nazwa). Jednak mimo tego rozwiązania administratorzy i tak muszą korzystać niekiedy z konsoli tekstowej – przynajmniej tylko wtedy, gdy zarządzają systemem zainstalowanym w trybie Server Core (a więc bez Eksploratora).

Zobacz również:

Z reguły użytkownik ma dostęp do wszystkich właściwości wewnętrznej zapory sieciowej – po kliknięciu ustawień zaawansowanych administrator ujrzy konsolę, w której może wykonać wszystkie zadania.Kliknij, aby powiększyćZ reguły użytkownik ma dostęp do wszystkich właściwości wewnętrznej zapory sieciowej – po kliknięciu ustawień zaawansowanych administrator ujrzy konsolę, w której może wykonać wszystkie zadania.

Dotychczas stosowali w tym celu (a w niektórych systemach stosują nadal) narzędzie Netsh. Nie jest to pojedyncze polecenie, lecz niezależna powłoka wyposażona w pokaźny zestaw poleceń (podrzędnych). Jednak Microsoft obrał sobie za cel, aby coraz więcej zadań z zakresu konfigurowania i konserwowania systemu mogło być wykonywane (częściowo lub wyłącznie) za pomocą powłoki PowerShell. W efekcie użytkownicy i administratorzy mają do dyspozycji ponad 240 poleceń Cmdlet, które służą do zarządzania środowiskiem Windows (polecenia stanowią specjalne programy w środowisku .NET Framework).

W tym materiale przedstawiamy typowe czynności obsługiwania wewnętrznej zapory sieciowej Windows na przykładzie niektórych z zestawu stosunkowo nowych poleceń Cmdlet i objaśniamy, czym różnią się od stosowanych dotychczas poleceń konsoli Netsh. Choć powłoka PowerShell zapewnia więcej możliwości, chwali się, że wbrew obawom wielu ekspertów Microsoft nie usunął powłoki Netsh z najnowszych edycji Windows. Nawet w Windows 8 i Windows Server 2012 są do dyspozycji wszystkie polecenia Netsh, a przygotowane pod kątem wcześniejszych wersji skrypty działają także w nowszych. Zamieszczone poniżej przykłady wykorzystują możliwości powłoki PowerShell w wersji 3.0. Użytkownicy dysponujący poprzednią edycją muszą doinstalować odpowiedni pakiet (patrz ramka „Wersje powłoki PowerShell”).

W swoich nowszych wersjach (3.0 i 4.0) powłoka PowerShell daje administratorom do dyspozycji bardzo pokaźny zestaw poleceń (tu: lista komend w module Netscurity).Kliknij, aby powiększyćW swoich nowszych wersjach (3.0 i 4.0) powłoka PowerShell daje administratorom do dyspozycji bardzo pokaźny zestaw poleceń (tu: lista komend w module Netscurity).

Ale jedna z istotnych nowości w powłoce PowerShell na pewno przysłuży się administratorom i użytkownikom nowszych systemów Windows. Nie trzeba już wgrywać ręcznie stosownych modułów (w naszym przykładzie jest to moduł Netsecurity), bo powłoka PowerShell samodzielnie wykonuje tę czynność. Aby uzyskać spis poleceń Cmdlet z zakresu bezpieczeństwa, które są dostępne w twojej powłoce PowerShell, wpisz następujące polecenie:

Get-Command -module Netsecurity

Obszerną listę poleceń Cmdlet dotyczących bezpieczeństwa, które są dostępne w powłoce PowerShell (w sumie jest ich aż 84), znajdziesz pod adresem http://technet.microsoft.com/en-us/library/jj554906.aspx. Poszczególne polecenia są opatrzone opisem ich parametrów. Wszystkie informacje są dostępne tylko w języku angielskim.

Ta informacja może się przydać – jakie profile połączeń są włączone w systemie? Zbędne komunikaty alarmowe niepodłączonych kart sieciowych można zablokować argumentem -ea 0.Kliknij, aby powiększyćTa informacja może się przydać – jakie profile połączeń są włączone w systemie? Zbędne komunikaty alarmowe niepodłączonych kart sieciowych można zablokować argumentem -ea 0.

Sprawdzanie bieżącego stanu zapory

Sprawdzanie bieżących ustawień zapory i skonfigurowanych aktualnie reguł stanowi w większości wypadków punkt wyjściowy w pracy administratora. Dotychczas formułowano takie zapytanie poleceniem

netsh advfirewall firewall show rule name=all

Służy do przywołania bieżących właściwości zapory z poziomu konsoli tekstowej. W zestawie wielu nowych poleceń Cmdlet dostępnych w powłoce PowerShell (wersje 3.0 i 4.0) nie brakuje, rzecz jasna, takiego, które wykonuje podobne zadanie:

Show-NetFirewallRule -Policystore ActiveStore

Powyższe polecenie wyświetla wszystkie reguły zapory, które są aktywne w systemie, przy czym argument ActiveStore scala wszystkie zestawy zasad dotyczące danego komputera. Po wprowadzeniu tego polecenia, na ekranie pojawia się dość obszerny tekst wynikowy, bo uwzględnia ono wiele szczegółowych informacji.

Tym poleceniem przywołasz listę profilów zapory sieciowej, które są włączone.Kliknij, aby powiększyćTym poleceniem przywołasz listę profilów zapory sieciowej, które są włączone.