Konfiguracja Zapory systemu Windows

Dobrze skonfigurowana zapora gwarantuje bardzo wysoki poziom bezpieczeństwa danych. Ochroni przed atakami z Internetu i zagrożeniami z wewnątrz. Poznaj tajemnice Zapory systemu Windows

Zapora systemu Windows to najpowszechniej stosowany firewall. Mimo, że ustępuje funkcjonalnością i skutecznością innym programom to znajduje się w każdym komputerze z Windows. Włączany jest też automatycznie w sytuacji gdy brakuje narzędzi dedykowanych. Sprawdza się w zupełności w podstawowych zadaniach i warto wiedzieć, jak wycisnąć z niego więcej.

Jak zablokować program za pomocą firewalla Windows

Systemowa zapora chroni przed nieautoryzowanymi połączeniami z zewnątrz i wewnątrz sieci. Automatycznie tworzone reguły mają za zadanie uprościć obsługę programu. Zdarza się jednak, że zapora nie uwzględni w swoich regułach jakiegoś programu bądź stworzona została wcześniej zasada, która zezwala na ruch. W takiej sytuacji należy ustawienia zmodyfikować ręcznie.

1. Rozwiń menu startowe i kliknij Panel sterowania. W Widoku klasycznym wybierz polecenie Zapora systemu Windows, a w widoku kategorii System i zabezpieczenia i dopiero Zapora systemu Windows. Kliknij łącze Zezwalaj programowi lub funkcji na dostęp przez Zaporę systemu Windows umieszczone w lewej części okna. Zobaczysz listę programów i usług, które zostały zarejestrowane przez zaporę. Kolumny Domowe/firmowe oraz Publiczne umożliwiają określenie czy wybrany obiekt będzie miał dostęp do sieci danego typu. Umieszczenie zaznaczenia w tej kolumnie gwarantuje komunikację, usunięcie brak połączenia.

Dostęp do ustawień komunikacji za pośrednictwem zapory możliwy jest dopiero po odblokowaniu okna parametrów

Dostęp do ustawień komunikacji za pośrednictwem zapory możliwy jest dopiero po odblokowaniu okna parametrów

2. Aby zmodyfikować ustawienia kliknij przycisk Zmień ustawienia. Odszukaj na liście program bądź usługę i usuń zaznaczenie w kolumnie typu sieci. Jeżeli nie chcesz by aplikacja działała w niebezpiecznych sieciach publicznych (na przykład działających na bazie bezpłatnych hot spotów) skasuj zaznaczenie w kolumnie Publiczne. Jeżeli chcesz całkowicie zablokować program usuń obydwa zaznaczenia.

3. Jeżeli jakiegoś obiektu nie ma na liście reguł zapory, możesz go dodać. Kliknij w tym celu Zezwalaj na dostęp innego programu. Na ekranie zobaczysz listę zainstalowanych w systemie aplikacji. Odszukaj tę, którą chcesz zablokować. Możesz też samodzielnie wskazać plik wykonywalny programu na dysku. Kliknij w tym celu przycisk Przeglądaj. Użyj przycisku Typy lokalizacji sieciowych, by wskazać obszary zablokowane i odblokowane. Całkowite ograniczenie wymaga usunięcia obydwu zaznaczeń. Kliknij OK i OK. Pamiętaj, że na liście reguł może się pojawić kilka wstąpień tego samego programu. W takiej sytuacji trzeba skonfigurować wszystkie.

Zapora Windows pozwala tworzyć różne profile dostępu w zależności od typu sieci z jakiej w danym momencie korzysta komputer

Zapora Windows pozwala tworzyć różne profile dostępu w zależności od typu sieci z jakiej w danym momencie korzysta komputer

4. Jeszcze raz kliknij OK, by powrócić do głównego okna zapory. Jeżeli nie udało ci się skonfigurować dostępu w sposób opisany powyżej (nie można było na przykład znaleźć na liście jakiejś usługi), kliknij łącze Ustawienia zaawansowane. Ustawienia zaawansowane wymagają by oddzielnie konfigurować reguły dla komunikacji przychodzącej i wychodzącej. Wybierz najpierw w lewym panelu kategorię Reguły przychodzące. Tym razem lista jest obszerniejsza. Aby zmienić ustawienia znajdź program na liście i kliknij go dwukrotnie. Wyszukiwanie usprawniają filtry dostępne w programie. Możesz wybierać wpisy jednego profilu czy zdefiniowanej operacji. Zachowanie zapory określa się na karcie Ogólne. Wystarczy w sekcji Akcja wskazać opcję Zablokuj połączenie, by komunikacja była zabroniona.

Zaawansowane ustawienia oraz kreator tworzenia nowych reguł Zapory systemu Windows

Zaawansowane ustawienia oraz kreator tworzenia nowych reguł Zapory systemu Windows

5. Jeżeli jakiejś reguły nie ma na liście zdefiniujesz ją klikając Nowa reguła w sekcji Akcje prawego panelu. Ma dotyczyć aplikacji, dlatego pozostaw zaznaczenie Program i w kolejnych krokach kreatora wskaż odpowiednie ustawienia. Wybierz między innymi plik wykonywalny, którego ma ona dotyczyć, zachowanie oraz profil sieci. Po dodaniu do bazy firewalla nowego rekordu, kliknij grupę Reguły wychodzące i powtórz procedurę konfiguracyjną. Aby stworzyć zasadę, która umożliwi wybranej aplikacji omijanie blokad firewalla, należy postępować tak samo, jak w powyższych krokach z tą różnicą, że za każdym razem w sekcji Akcja trzeba wskazać Zezwalaj na połączenie

Zapora systemowa z dodatkowym uwierzytelnieniem

W ekstremalnych sytuacjach ochronę jaka zapewnia systemowa zapora można jeszcze poprawić. Po włączeniu dodatkowego uwierzytelnienia oraz szyfrowania przepuszczane będą tylko te pakiety, które zostały odpowiednio zabezpieczone. Nie wystarczy już informacja, że dany program ma prawo przesyłać i odbierać dane, ważne jest to, że dane muszą odpowiednio podpisane, oznaczone czy zaszyfrowane. Dodatkowa ochrona zapewniana jest przez zestaw protokołów zabezpieczających IPsec.

1. Otwórz Panel sterowania i kliknij w widoku klasycznym łącze Zapora systemu Windows. Za pomocą polecenia Ustawienia zaawansowane otwórz okno konfiguracyjne, a następnie wybierz Reguły przychodzące. Znajdź rekord, który chcesz zmodyfikować i kliknij go dwukrotnie. Zaznacz opcję Zezwalaj na połączenie, jeśli jest bezpieczne na karcie Ogólne i przejdź do konfiguracji za pomocą przycisku Dostosuj.

Szyfrowanie i uwierzytelnianie pakietów podnosi poziom bezpieczeństwa ruchu obsługiwanego przez zaporę

Szyfrowanie i uwierzytelnianie pakietów podnosi poziom bezpieczeństwa ruchu obsługiwanego przez zaporę

2. Po włączeniu obsługi połączeń zabezpieczonych, domyślnie wybrana jest opcja uwierzytelniania protokołu IPsec Zezwalaj na połączenie, jeśli jest uwierzytelnione. Aby uzupełnić procedurę autoryzacji o szyfrowanie należy zaznaczyć Wymagaj szyfrowania połączeń. Parametr Zezwalaj komputerom na dynamiczne negocjowanie szyfrowania obniża poziom bezpieczeństwa (część danych przesyłana jest w sposób niezaszyfrowany) ale ułatwia zestawienie szyfrowanego łącza. Zgodność z różnymi urządzeniami poprawia także opcja Zezwalaj na używanie przez połączenia hermetyzacji zerowej. Ona także obniża jednak bezpieczeństwo i funkcjonuje jedynie w Windows 7.

Reguła przychodząca zezwalająca na komunikację, może być również nadrzędną nad wszystkimi innymi regułami blokującymi dotyczącymi konfigurowanego obiektu. Przydaje się to na przykład podczas używania niektórych narzędzi administracyjnych. Wystarczy zaznaczyć Zastąp reguły blokowania. Aby jednak działała należy dodatkowo zdefiniować przynajmniej jeden zaufany komputer, z którego mogą pochodzić pakiety. W przeciwnym razie zostanie wyłączona. Nie funkcjonuje ona także wtedy, gdy użytkownik zablokuje cały ruch przez zaporę. Zaufanych użytkowników oraz komputery potrzebne do konfiguracji bezpiecznego połączenia określa się na kartach komputery i Użytkownicy

Zaufane interfejsy, porty i adresy IP

Początkujący użytkownik jest zazwyczaj zadowolony z tego, ze program automatycznie dobiera właściwe do danej sytuacji ustawienia. W szczególności dotyczy to zagadnień związanych z bezpieczeństwem. Błędy w ustawieniach mogą bowiem doprowadzić do utraty danych. Pożądane więc są wszelkiego rodzaju kreatory, zestawy domyślnych reguł czy automatyczna konfiguracja w tle. Brak możliwości ręcznej ingerencji we wszystkie parametry dyskwalifikuje jednak produkt w oczach użytkowników zaawansowanych. Nie pozwala bowiem stosować go w bardziej skomplikowanych rozwiązaniach. Zapora Windows daje możliwość definiowania zaufanych adresów IP bądź ich zakresów, pozwala określać użytkowników którzy mają prawo brać udział w transmisji danych i w pełni kontrolować wszystkie porty. To funkcje, które przydają się w każdej większej sieci.

Odblokowanie określonych portów niezbędne jest do prawidłowego działania programów do bezpośredniej wymiany plików

Odblokowanie określonych portów niezbędne jest do prawidłowego działania programów do bezpośredniej wymiany plików

1. Otwórz Panel sterownia i uruchom zaporę. Klikając Ustawienia zaawansowane przejdź do okna zaawansowanej konfiguracji. Użytkowników porty czy zakresy adresów można definiować dla każdej reguły oddzielnie. Zarówno dla rekordów istniejących, jak i nowych. Kliknij dwukrotnie jeden z wpisów na liście reguł przychodzących lub wychodzących.

2. Przejdź na kartę Protokoły i porty. Lista Typ protokołu zawiera możliwe do wyboru ustawienia typu protokołu. Wskaż ten dla którego definiujesz regułę. Na liście Port lokalny zamiast wpisu Wszystkie porty ustaw Określone porty, a następnie w pole poniżej wpisz numery portów lokalnych, z których korzysta konfigurowana aplikacja. Pojedyncze wartości oddziela się przecinkami, zakresy łączy myślnikiem. Porty konfiguruje się dla protokołów TCP i UDP. W podobny sposób zdefiniuj porty na zdalnym komputerze. Zrobisz to za pomocą listy i pola Port zdalny. To ustawienie zapory wykorzystywane jest bardzo często podczas konfiguracji programów p2p.

3. Jeżeli administrator czy właściciel sieci komputerowej nie chce by korzystające z niej osoby mogły łączyć się z dowolnymi pecetami, może wprowadzić ograniczenie polegające na adresowaniu IP. Pozwala ono zdefiniować numer IP maszyny, bądź ich grupę lokalną, która może brać udział w komunikacji oraz określić numer lub numery komputerów zdalnych. W ten sposób komputer znajdujące się na liście mogą przesyłać informacje bez żadnych ograniczeń, a te które na niej się nie znalazły są zablokowane. Odpowiednie ustawienia wybiera się na karcie Zakres.

4. Firewall pozwala także na zróżnicowanie ustawień reguł w zależności od typu sieci. Dzięki temu można doprecyzować zachowanie w sieciach publicznych czy prywatnych. Dostępne są także ustawienia dotyczące domen. Aby uelastycznić zachowanie zapory określa się także stosowanie zasad w zależności od typu interfejsu. To wygodne rozwiązanie gdy komputer podłączany jest do sieci lokalnej, korzysta z połączeń zdalnych oraz bezprzewodowych. Typ interfejsu oraz profilu sieci określa się na karcie Zaawansowane. W pierwszym przypadku po kliknięciu przycisku Dostosuj, w drugim zaznaczając odpowiednią opcję w sekcji Profile.

Windows Firewall Control - pomoc w zarządzaniu zaporą

Obsługa systemowej zapory nie należy do najprostszych. Okna konfiguracyjne ukryte są głęboko w Panelu sterowania, a opcje rozrzucone między różnymi ekranami. Konfigurację i codzienne zarządzanie firewallem ułatwia Windows Firewall Control, który ułatwia dostęp do wszystkich ustawień i gromadzi je w wygodnym interfejsie.

1. Po zainstalowaniu, ikona programu będzie dostępna w zasobniku systemowym. Kliknij ją lewym przyciskiem myszy. Menu kontekstowe, które się pojawi, udostępnia kilka opcji. Aby szybko zmienić poziom bezpieczeństwa systemu możesz wybrać jeden z trybów filtrowania. Aby wyłączyć pracę zapory użyj polecenia No filtering. Po wskazaniu jednego z filtrów pojawi się dodatkowe menu pozwalające błyskawicznie stworzyć nową regułę blokującą. Jeżeli klikniesz Browse to block będziesz zmuszony wskazać plik wykonywalny danego programu na dysku. Możesz się też posłużyć opcją Click to block. Wystarczy teraz kliknąć okno aplikacji, którą chcesz zablokować (oczywiście tylko wtedy jeżeli będzie ona uruchomiona).

Firewall Control – okno zarządzania regułami oraz właściwości wybranej zasady

Firewall Control – okno zarządzania regułami oraz właściwości wybranej zasady

2. Po rozwinięciu menu Advanced uzyskasz bezpośrednio dostęp do narzędzi systemowych. Klikając Windows Firewall otworzysz okno zapory systemowej, a polecenie Advanced security uruchomi jej ustawienia zawansowane. Firewall Policies pozwala importować i eksportować reguły zapory oraz przywracać jej ustawienia domyślne. Zaawansowane funkcje Windows Firewall Control to również możliwość integracji z systemem operacyjnym czy funkcja automatycznych aktualizacji.

3. Okno programu otworzysz po kliknięciu w głównym menu polecenia Manage Rules. To najwygodniejszy sposób zarządzania ustawieniami zapory Windows. Lisy umieszczone w sekcji Display pozwalają filtrować reguły w zależności od kierunku i funkcji czy miejsca utworzenia. Można je także wyszukiwać za pomocą dedykowanego narzędzia. Blokowaniu i odblokowywaniu programu służą polecenia w sekcjach Allow a program oraz Block a program. Zasady stworzysz na podstawie otwartych okien programów lub ich plików wykonywalnych zapisanych na dysku. Po zaznaczeniu reguły na liście w dolnej części okna możesz zmienić jej kierunek klikając Allow/Block bądź włączyć lub wyłączyć wybierając Enable/Dislabe. Polecenia widoczne są w sekcji Options. Zasadę skasujesz po kliknięciu Delete Rule, a okno jej właściwości, które pozwoli na zmianę ustawień wyświetlone zostanie po wybraniu Modify Rule.


Zobacz również