Как включить частные сети в брандмауэре Windows 10

Обновлено: 21.11.2024

Ваша работа может потребовать включения брандмауэра Windows. Или отключите его, чтобы использовать альтернативное программное обеспечение в соответствии с политиками безопасности вашей компании.

В Microsoft Windows 8 и 10 вы получаете предустановленную утилиту брандмауэра. Однако его можно отключить по умолчанию. Вы всегда должны проверять, что он включен, так как это важная функция безопасности для защиты вашей системы. Ниже приведены инструкции по включению или отключению этой функции в этих версиях Windows.

Включение брандмауэра Windows

Внимание! Одновременно должен быть включен только один программный брандмауэр. Если у вас установлен антивирус или другая программа безопасности с собственной функцией брандмауэра, убедитесь, что вы сначала отключили ее.

  1. Откройте панель управления в Windows.
  2. Нажмите "Система и безопасность".
  3. Нажмите Брандмауэр Windows.
  4. Если ваш брандмауэр отключен, вы увидите, что брандмауэр Windows отмечен как "Выключено". Чтобы включить его, на левой панели навигации нажмите Включить или отключить брандмауэр Windows.
  5. В окне "Настройка параметров" выберите "Включить брандмауэр Windows" и нажмите "ОК".

Отличная работа! Если у вас также есть устройство Apple, вот инструкции, необходимые для проверки настроек брандмауэра для Mac.

Что такое брандмауэр?

Брандмауэр – это система сетевой безопасности, предназначенная для предотвращения несанкционированного доступа к частной сети или из нее.

Использование брандмауэра рекомендуется для обеспечения безопасности, особенно для компаний, которые должны защищать конфиденциальные данные клиентов. Включение брандмауэра — это общепринятая политика и процедура безопасности для защиты вас и вашей компании.

Можно внедрить брандмауэр как на аппаратном, так и на программном уровне или в комбинации того и другого. Часто предприятия используют сетевые брандмауэры для предотвращения доступа неавторизованных пользователей Интернета к частным сетям, подключенным к Интернету. Брандмауэры особенно важны для защиты внутренних сетей. Все сообщения, входящие или исходящие из интрасети, проходят через брандмауэр, который проверяет каждое сообщение и блокирует те, которые не соответствуют указанным критериям безопасности.

Windows 10 упрощает настройку сетевых профилей для проводных и беспроводных устройств как общедоступных или частных. Узнайте, как это сделать с помощью вашей сети.

В Windows 10 существует два набора параметров безопасности и общего доступа по умолчанию при подключении к проводной или беспроводной сети: общедоступный и частный. Названия этих двух параметров довольно просты. Частные сети находятся у вас дома или в офисе, а общедоступные — везде: в кафе, аэропортах, библиотеках и т. д.

Это очевидно. Но как Windows 10 по-разному обрабатывает общедоступные и частные сети? И как переключаться с одного на другое? Именно об этом мы и поговорим в этой статье.

Установите свой сетевой профиль в Windows 10 как частный или общедоступный

При первом подключении к сети Windows спросит вас, какой тип сети и какие настройки вы хотите использовать. Если вы не помните, что делали это, или передумали создавать сеть, вы можете переключить ее.

Вообще говоря, когда вы устанавливаете сетевой профиль как общедоступный, настройки становятся более строгими. Ваш компьютер не будет виден другим устройствам в той же сети. Другие устройства не смогут получить доступ к вашим файлам или принтерам в сети.

В «частной» сети Windows 10 предполагает, что вы находитесь в доверенной сети, доступ к которой есть только у вас и членов вашей семьи. Ваше устройство будет доступно для обнаружения в сети (другие смогут его видеть). Если вы используете домашние группы, вы сможете предоставлять общий доступ к принтерам и файлам другим компьютерам в сети.

Общедоступные и частные сети также имеют разные настройки брандмауэра. По умолчанию как общедоступные, так и частные сети имеют довольно строгие настройки брандмауэра. Но вы можете изменить настройки брандмауэра в зависимости от используемого типа подключения.

Как изменить беспроводную сеть на частную или общедоступную

Чтобы перейти из общедоступной сети в частную и наоборот, сначала подключитесь к своей сети. Вы можете сделать это, открыв доступный значок сети в области уведомлений. Выберите сеть, затем подключитесь к ней. После подключения выберите его и нажмите «Свойства».

Здесь вы можете изменить свой сетевой профиль на общедоступный или частный. Выберите тот, который лучше всего подходит для вашей среды.

Как изменить проводную сеть на общедоступную или частную

Если вы хотите изменить сетевой профиль для проводной сети, откройте «Пуск» > «Настройки» > «Сеть и Интернет» > «Ethernet», затем щелкните сетевой адаптер.

Затем выберите нужный профиль.

Настройка параметров общедоступной и частной сети

Вы можете изменить настройки общедоступных или частных сетей. Например, если вы хотите сделать свой компьютер доступным для обнаружения в общедоступных сетях (не рекомендуется) или отключить общий доступ к файлам или принтерам в частной сети, вы можете это сделать.

Откройте "Пуск" > "Настройки" > "Сеть и Интернет", в разделе Изменить настройки сети нажмите Параметры общего доступа.

Разверните Частный или общедоступный, затем установите переключатель для нужных параметров, таких как отключение обнаружения сети, общий доступ к файлам и принтерам или доступ к подключениям домашней группы.

Вот и все, простые способы защитить или предоставить доступ к вашим сетям. Если вы хотите узнать больше об управлении сетями в Windows 10, ознакомьтесь с другими нашими статьями: Как создать домашнюю группу и присоединиться к ней в Windows 10 и Подключить Windows 10 к проводным, беспроводным и одноранговым сетям. Пользователи, работающие одновременно с компьютерами Mac и Windows, могут найти помощь в нашем руководстве «Как подключиться к сети Windows 10 и OS X и обмениваться файлами».

Брандмауэр Защитника Windows в режиме повышенной безопасности обеспечивает двустороннюю фильтрацию сетевого трафика на основе хоста и блокирует несанкционированный сетевой трафик, входящий или исходящий на локальном устройстве. Настройка брандмауэра Windows на основе следующих рекомендаций может помочь вам оптимизировать защиту устройств в вашей сети. Эти рекомендации охватывают широкий спектр развертываний, включая домашние сети и корпоративные настольные/серверные системы.

Чтобы открыть брандмауэр Windows, перейдите в меню «Пуск», выберите «Выполнить», введите WF.msc и нажмите «ОК». См. также Открытие брандмауэра Windows.

Сохранить настройки по умолчанию

При первом открытии брандмауэра Защитника Windows вы увидите настройки по умолчанию, применимые к локальному компьютеру. На панели «Обзор» отображаются параметры безопасности для каждого типа сети, к которой может подключаться устройство.

Рисунок 1. Брандмауэр Защитника Windows

Профиль домена: используется для сетей, в которых существует система проверки подлинности учетной записи на контроллере домена (DC), таком как контроллер домена Azure Active Directory

Частный профиль: разработан и лучше всего используется в частных сетях, таких как домашняя сеть

Общедоступный профиль. Разработан с учетом повышенной безопасности для общедоступных сетей, таких как точки доступа Wi-Fi, кафе, аэропорты, гостиницы или магазины.

Просмотрите подробные настройки для каждого профиля, щелкнув правой кнопкой мыши узел Брандмауэр Защитника Windows верхнего уровня в режиме повышенной безопасности на левой панели и выбрав Свойства.

По возможности сохраняйте настройки по умолчанию в брандмауэре Защитника Windows. Эти настройки предназначены для защиты вашего устройства от использования в большинстве сетевых сценариев. Одним из ключевых примеров является поведение блокировки по умолчанию для входящих подключений.

Рисунок 2. Параметры входящего/исходящего трафика по умолчанию

Для обеспечения максимальной безопасности не изменяйте настройку по умолчанию "Блокировать" для входящих подключений.

Приоритет правил для входящих правил

Во многих случаях следующим шагом администраторов будет настройка этих профилей с помощью правил (иногда называемых фильтрами), чтобы они могли работать с пользовательскими приложениями или другими типами программного обеспечения. Например, администратор или пользователь может добавить правило для программы, открыть порт или протокол или разрешить предопределенный тип трафика.

Это можно сделать, щелкнув правой кнопкой мыши Правила для входящих подключений или Правила для исходящих подключений и выбрав Новое правило. Интерфейс добавления нового правила выглядит так:

Рисунок 3. Мастер создания правил

В этой статье не рассматривается пошаговая настройка правил.Общие рекомендации по созданию политики см. в Руководстве по развертыванию брандмауэра Windows в режиме повышенной безопасности.

Во многих случаях для работы приложений в сети требуется разрешение определенных типов входящего трафика. При разрешении этих входящих исключений администраторам следует помнить о следующих принципах приоритета правил.

Явно определенные разрешающие правила будут иметь приоритет над настройкой блокировки по умолчанию.

Явные правила блокировки имеют приоритет над любыми конфликтующими разрешающими правилами.

Более конкретные правила имеют приоритет над менее конкретными правилами, за исключением случаев явных правил блокировки, как указано в пункте 2. (Например, если параметры правила 1 включают диапазон IP-адресов, а параметры правила 2 включают один IP-адрес хоста, правило 2 будет иметь приоритет.)

Из-за 1 и 2 важно, чтобы при разработке набора политик вы удостоверились в отсутствии других явных правил блокировки, которые могли бы непреднамеренно перекрываться, тем самым препятствуя потоку трафика, который вы хотите разрешить.< /p>

Общая рекомендация по обеспечению безопасности при создании правил для входящего трафика должна быть как можно более конкретной. Однако если необходимо создать новые правила, использующие порты или IP-адреса, рассмотрите возможность использования последовательных диапазонов или подсетей вместо отдельных адресов или портов, где это возможно. Это позволяет избежать создания нескольких внутренних фильтров, упрощает работу и помогает избежать снижения производительности.

Брандмауэр Защитника Windows не поддерживает традиционный взвешенный порядок правил, назначаемый администратором. Эффективный набор политик с ожидаемым поведением можно создать, учитывая несколько последовательных и логичных правил поведения, описанных выше.

Создавайте правила для новых приложений перед их первым запуском

Правила разрешения входящего трафика

При первой установке сетевые приложения и службы вызывают запрос на прослушивание, указывая информацию о протоколе/порте, необходимую для их правильной работы. Поскольку в брандмауэре Защитника Windows по умолчанию есть действие блокировки, необходимо создать правила исключения для входящего трафика, чтобы разрешить этот трафик. Это правило брандмауэра обычно добавляется приложением или установщиком приложения. В противном случае пользователю (или администратору брандмауэра от имени пользователя) необходимо вручную создать правило.

Если нет активных приложений или определяемых администратором разрешающих правил, в диалоговом окне пользователю будет предложено либо разрешить, либо заблокировать пакеты приложения при первом запуске приложения или попытке установить связь в сети.< /p>

Если у пользователя есть права администратора, ему будет предложено. Если они ответят Нет или отменят приглашение, будут созданы правила блокировки. Обычно создаются два правила, по одному для трафика TCP и UDP.

Если пользователь не является локальным администратором, ему не будет предложено. В большинстве случаев будут созданы правила блокировки.

В любом из приведенных выше сценариев после добавления этих правил их необходимо удалить, чтобы снова создать запрос. В противном случае трафик будет по-прежнему заблокирован.

Настройки брандмауэра по умолчанию предназначены для обеспечения безопасности. Разрешение всех входящих подключений по умолчанию подвергает сеть различным угрозам. Поэтому создание исключений для входящих подключений из стороннего программного обеспечения должно определяться доверенными разработчиками приложений, пользователем или администратором от имени пользователя.

Известные проблемы с автоматическим созданием правил

При разработке набора политик брандмауэра для вашей сети рекомендуется настроить разрешающие правила для любых сетевых приложений, развернутых на узле. Наличие этих правил до того, как пользователь впервые запустит приложение, поможет обеспечить бесперебойную работу.

Отсутствие этих поэтапных правил не обязательно означает, что в конечном итоге приложение не сможет обмениваться данными в сети. Однако поведение, связанное с автоматическим созданием правил приложений во время выполнения, требует взаимодействия с пользователем и прав администратора. Если предполагается, что устройство будет использоваться пользователями без прав администратора, следует следовать рекомендациям и предоставить эти правила перед первым запуском приложения, чтобы избежать непредвиденных проблем с сетью.

Чтобы определить, почему некоторые приложения не могут общаться в сети, проверьте следующее:

Пользователь с достаточными привилегиями получает уведомление о запросе, в котором сообщается, что приложению необходимо внести изменения в политику брандмауэра. Не полностью понимая подсказку, пользователь отменяет или отклоняет подсказку.

У пользователя недостаточно прав, поэтому ему не предлагается разрешить приложению внести соответствующие изменения в политику.

Объединение локальных политик отключено, что не позволяет приложению или сетевой службе создавать локальные правила.

Создание правил приложений во время выполнения также может быть запрещено администраторами с помощью приложения "Параметры" или групповой политики.

Рисунок 4. Диалоговое окно для разрешения доступа

Установить правила слияния и применения локальной политики

Правила брандмауэра могут быть развернуты:

  1. Локально с помощью оснастки брандмауэра (WF.msc)
  2. Локально с помощью PowerShell
  3. Удаленное использование групповой политики, если устройство является членом Active Directory Name, System Center Configuration Manager (SCCM) или Intune (с использованием присоединения к рабочему месту)

Параметры объединения правил определяют, как можно объединять правила из разных источников политик. Администраторы могут настраивать различные режимы слияния для доменных, частных и общедоступных профилей.

Параметры объединения правил разрешают или запрещают локальным администраторам создавать собственные правила брандмауэра в дополнение к правилам, полученным из групповой политики.

Рисунок 5. Настройка объединения правил

В поставщике услуг настройки брандмауэра эквивалентным параметром является AllowLocalPolicyMerge. Этот параметр можно найти в каждом соответствующем узле профиля: DomainProfile, PrivateProfile и PublicProfile.

Если объединение локальных политик отключено, для любого приложения, которому требуется входящее подключение, требуется централизованное развертывание правил.

Администраторы могут отключить LocalPolicyMerge в средах с высоким уровнем безопасности, чтобы обеспечить более жесткий контроль над конечными точками. Это может повлиять на некоторые приложения и службы, которые автоматически создают политику локального брандмауэра при установке, как описано выше. Чтобы эти типы приложений и служб работали, администраторы должны централизованно применять правила через групповую политику (GP), управление мобильными устройствами (MDM) или и то, и другое (для гибридных сред или сред совместного управления).

CSP брандмауэра и CSP политики также имеют настройки, которые могут повлиять на слияние правил.

Рекомендуется составлять список и регистрировать такие приложения, включая сетевые порты, используемые для связи. Как правило, вы можете узнать, какие порты должны быть открыты для данной службы, на веб-сайте приложения. Для более сложных развертываний или развертываний клиентских приложений может потребоваться более тщательный анализ с использованием инструментов захвата сетевых пакетов.

Как правило, для обеспечения максимальной безопасности администраторы должны активировать исключения брандмауэра только для приложений и служб, предназначенных для законных целей.

Использование подстановочных знаков, таких как C:*\teams.exe, не поддерживается в правилах приложений. В настоящее время мы поддерживаем только правила, созданные с использованием полного пути к приложениям.

Знать, как использовать режим «щиты вверх» для активных атак

Важной функцией брандмауэра, которую вы можете использовать для уменьшения ущерба во время активной атаки, является режим "щиты вверх". Это неофициальный термин, обозначающий простой метод, который администратор брандмауэра может использовать для временного повышения безопасности перед лицом активной атаки.

Включить защиту можно, установив флажок Блокировать все входящие подключения, в том числе указанные в списке разрешенных приложений, который можно найти в приложении "Параметры Windows" или в устаревшем файле firewall.cpl.

Рисунок 6. Параметры Windows Приложение/Безопасность Windows/Защита брандмауэра/Тип сети

Рис. 7. Устаревший файл firewall.cpl

По умолчанию брандмауэр Защитника Windows блокирует все, если не создано правило исключения. Этот параметр переопределяет исключения.

Например, функция удаленного рабочего стола автоматически создает правила брандмауэра, если она включена. Однако при наличии активного эксплойта, использующего несколько портов и служб на хосте, вы можете вместо отключения отдельных правил использовать режим защиты, чтобы заблокировать все входящие подключения, отменяя предыдущие исключения, включая правила для удаленного рабочего стола. Правила удаленного рабочего стола остаются нетронутыми, но удаленный доступ не будет работать, пока активирована защита.

После устранения чрезвычайной ситуации снимите флажок, чтобы восстановить обычный сетевой трафик.

Создать исходящие правила

Ниже приведены несколько общих рекомендаций по настройке исходящих правил.

Конфигурация по умолчанию для правил «Блокировка для исходящего трафика» может быть рассмотрена для определенных сред с высоким уровнем безопасности. Однако никогда не следует изменять конфигурацию правила для входящего трафика таким образом, чтобы он разрешал трафик по умолчанию.

Рекомендуется разрешить исходящий трафик по умолчанию для большинства развертываний ради упрощения развертывания приложений, если только предприятие не предпочитает простоте использования жесткий контроль безопасности.

В средах с высоким уровнем безопасности администратор или администраторы должны проводить инвентаризацию всех корпоративных приложений и регистрировать их. В записях должно быть указано, требует ли используемое приложение подключения к сети. Администраторам потребуется создать новые правила для каждого приложения, которому требуется подключение к сети, и применить эти правила централизованно, с помощью групповой политики (GP), управления мобильными устройствами (MDM) или того и другого (для гибридных сред или сред совместного управления).

Задачи, связанные с созданием исходящих правил, см. в разделе Контрольный список: создание исходящих правил брандмауэра.

Задокументируйте свои изменения

При создании правила для входящего или исходящего трафика необходимо указать сведения о самом приложении, используемом диапазоне портов и важные примечания, например дату создания. Правила должны быть хорошо задокументированы, чтобы их было легко просматривать как вам, так и другим администраторам. Мы настоятельно рекомендуем потратить время на то, чтобы облегчить работу по пересмотру правил брандмауэра на более позднем этапе. И никогда не создавайте ненужных дыр в брандмауэре.

Вы можете злиться на Microsoft и кричать на брандмауэр Windows 10, но когда вы это сделаете, поймите, что по крайней мере часть проблемы заключается в том, как должен работать брандмауэр. Он должен блокировать пакеты, которые пытаются войти, если вы явно не укажете брандмауэру разрешить им вход.

Возможно, больше всего раздражает то, что брандмауэр Windows блокирует эти пакеты, просто проглатывая их, а не уведомляя компьютер, отправивший пакет. Брандмауэр Windows должен оставаться скрытным, потому что, если он отправит обратно пакет, который говорит: «Эй, я получил ваш пакет, но не могу его пропустить», злоумышленники получат подтверждение того, что ваш компьютер существует, они, вероятно, смогут понять какой брандмауэр вы используете, и они могут объединить эти две части информации, чтобы доставить вам головную боль. Лучше, если брандмауэр Windows будет действовать как черная дыра.

Некоторым программам необходимо прослушивать входящий трафик из Интернета; они ждут, пока с ними свяжутся, а затем отвечают. Обычно вы знаете, есть ли у вас программа такого типа, потому что установщик говорит вам, что вам нужно отключить брандмауэр.

Если у вас есть программа, которая не пробивает (или не может) собственную дыру в брандмауэре Windows, вы можете указать WF разрешить пакеты, предназначенные для этой конкретной программы — и только для этой программы — через брандмауэр. Вы можете сделать это, например, с игрой, которая должна принимать входящий трафик, или с программой-расширителем Outlook, которая взаимодействует с мобильными телефонами.

  1. Убедитесь, что установлена ​​программа, которую вы хотите разрешить через брандмауэр.
  2. В поле поиска рядом с кнопкой "Пуск" введите брандмауэр. Выберите «Разрешить приложение через брандмауэр Windows».

Брандмауэр Windows представляет вам длинный список программ, которые вы, возможно, захотите разрешить: подключение разрешено для частных или общедоступных подключений.

Разрешить установленным программам проходить через брандмауэр.

Эти настройки не применяются к входящим пакетам данных, полученным в ответ на запрос с вашего компьютера; они применяются только тогда, когда пакет данных появляется на пороге вашего брандмауэра без приглашения.

На изображении выше мозаичное приложение Погода может получать входящие пакеты независимо от того, подключены ли вы к частной или общедоступной сети. Проигрыватель Windows Media, с другой стороны, может принимать незапрашиваемые входящие данные с других компьютеров, только если вы подключены к частной сети: если вы подключены к общедоступной сети, входящие пакеты, направляемые для проигрывателя Windows Media, проглатываются WF. Черная дыра (подана заявка на патент).

  • Если вы можете найти программу, которую хотите протолкнуть через брандмауэр, в списке «Разрешить программы», установите флажки, соответствующие тому, хотите ли вы разрешить нежелательные входящие данные при подключении к домашней или рабочей сети и хотите ли вы разрешить входящие пакеты при подключении к общедоступной сети. Очень редко вы разрешаете доступ при подключении к общедоступной сети, но не к домашней или рабочей сети.
  • Если вы не можете найти программу, которую хотите взломать через брандмауэр, вам нужно найти ее. Коснитесь или щелкните кнопку «Изменить настройки» вверху, а затем коснитесь или щелкните кнопку «Разрешить другое приложение» внизу. Сначала вы должны нажать или щелкнуть кнопку «Изменить настройки», а затем нажать или щелкнуть «Разрешить другую программу».Это своего рода функция двойной защиты, которая гарантирует, что вы ничего не измените случайно.

Брандмауэр Windows обращается ко всем распространенным расположениям программ и, наконец, предоставляет вам список Whack a Mol … er, Add an App, подобный показанному здесь. Это может занять некоторое время.

Разрешить программе (которую вы тщательно проверили!) пройти через брандмауэр.

Осознайте, что вы открываете потенциальную, хотя и небольшую дыру в безопасности. Выбранная вами программа должна быть способна обрабатывать пакеты из неизвестных источников. Если вы разрешите программе-отступнику принимать входящие пакеты, плохая программа может пропустить лису в курятник.

Вы возвращаетесь к списку разрешенных приложений брандмауэра Windows, и ваша вновь выбранная программа становится доступной.

Читайте также: