Windows Vista. Для профессионалов
Шрифт:
• Политики проводной сети (IEEE 802.3) – выводит параметры настройки сетей IEEE 802.3.
• Политики беспроводной сети (IEEE 802.11) – отображает параметры настройки беспроводных сетей IEEE 802.11.
Как и в предыдущих версиях операционной системы, в Windows Vista присутствует программа командной строки gpresult.ехе (Расположение: %systemroot%\ system32\gpresult.ехе), с помощью которой также можно получить сведения о результирующих политиках. После запуска данной программы без параметров перед вами отобразятся следующие сведения: тип и версия операционной системы, домен, список доступных на компьютере групп, а также логин текущего пользователя, дата последнего применения групповых политик. Также будет указано, было ли выполнено подключение к компьютеру с использованием медленной линии (а также порог скорости, при котором линия считается медленной). Конечно, отобразятся и сами примененные групповые политики.
Если же вы хотите отобразить результирующие политики конкретного пользователя, то нужно воспользоваться параметром /user. А с помощью параметра /scope, значениями которого могут быть слова user или computer, можно указать тип групповых политик, которые нужно отобразить.
Если же нужно подключиться к удаленному компьютеру, то достаточно воспользоваться параметрами/s <компьютер>, /и <пользователь>и/р <пароль>.
Анализ и настройка безопасности
CLSID-номер оснастки: {011BE22D-E453-11D1-945A-00C04FB984F9}.
Библиотека: wsecedit.dll.
Используется в стандартных консолях: нет.
Оснастка не является нововведением операционной системы Windows Vista. Однако мы рассмотрим ее (хоть и не подробно), так как работа с ней немного запутанна, хотя и не представляет особой сложности.
Работа с оснасткой
Оснастка Анализ и настройка безопасности предназначена для просмотра текущей конфигурации параметров компьютера, назначаемых с помощью шаблонов другой оснастки – Шаблоны безопасности, которую мы рассмотрим немного позже. При этом вы не только можете проанализировать состояние параметров компьютера, но и указать те из параметров, значения которых будут изменены согласно параметрам выбранного шаблона.
После запуска оснастки перед вами отобразится пустое окно. Чтобы начать работать с оснасткой, нужно в ее контекстном меню выбрать команду Открыть базу данных. После этого отобразится окно открытия базы данных SDB. Если вы впервые запускаете оснастку Анализ и настройка безопасности, то просто введите в окне название новой базы, которая будет создана после того, как вы нажмете кнопку ОК. После создания базы данных перед вами отобразится список шаблонов безопасности (по умолчанию располагаются они в каталоге %systemroot%\security\ templates),После того как вы загрузите нужный шаблон в оснастку Анализ и настройка безопасности, в ее контекстном меню станет активна команда Анализ компьютера. Как только вы ее выберете, начнется анализ конфигурации параметров компьютера, которые изменяются с помощью выбранного шаблона. Результаты анализа будут отображены в виде подразделов оснастки Анализ и настройка безопасности. Эти подразделы аналогичны подразделам выбранного вами шаблона безопасности.
Итак, теперь вы можете просмотреть, соответствуют ли текущие параметры настройки компьютера параметрам выбранного шаблона. Но что же делать, если значение какого-то параметра не соответствует значению, указанному в шаблоне (заметьте, что в этом случае напротив соответствующего параметра отображается перечеркнутый крестик)? В этом случае в контекстном меню соответствующего параметра нужно выбрать команду Свойства. После этого откроется окно, которое отображает текущее значение параметра и имеет флажок Определить следующую политику в базе данных. Если вы установите данный флажок, то в поле под ним отобразится значение данного параметра, указанное в шаблоне безопасности (рис. 5.17). С помощью этого же поля вы можете ввести свое значение данного параметра, отличное от того, которое указано в шаблоне безопасности. После того как вы нажмете кнопку ОК, значение шаблона безопасности заменит собой текущее значение компьютера. Но только в окне оснастки! Чтобы значения измененных вами параметров действительно были записаны в реестр компьютера, нужно в контекстном меню данной оснастки выбрать команду Настроить компьютер. После этого измененные вами значения параметров будут помещены в реестр компьютера.
Рис. 5.17. Установка значения параметров шаблона безопасности
Использование программы secedit.exe
Для анализа параметров безопасности компьютера можно использовать программу командной строки secedit.ехе. Возможности данной программы полностью совпадают с возможностями оснастки Анализ и настройка безопасности. Она поддерживает следующие параметры: /configure, /analyze, /import, /export, /validate и /generaterollback. Для просмотра описания использования определенной команды достаточно ввести команду secedit.ехе <команда>.
Шаблоны безопасностиCLSID-номер оснастки: {5ADF5BF6-E452-11D1-945A-00C04FB984F9}.
Библиотека: wsecedit.dll.
Используется в стандартных консолях: нет.
Эта оснастка, как и предыдущая, не является нововведением операционной системы Windows Vista. С ее помощью можно создать новые или отредактировать поставляемые с операционной системой стандартные шаблоны безопасности. Если у вас нет стандартных шаблонов безопасности, то можно создать свой собственный шаблон или скопировать стандартные шаблоны безопасности операционной системы Windows ХР в каталог %systemroot%\security\templates. Вы также можете взять несколько шаблонов безопасности из каталога %systemroot%\inf операционной системы Windows Vista и перенести их в каталог %userprof ile%\ Documents\security\Templates. В нем находятся следующие шаблоны безопасности: defltbase.inf, defltwk.inf, sceregvl.inf, secrecs.inf.
Для примера создадим свой собственный шаблон безопасности. Для этого в контекстном меню оснастки достаточно выбрать команду Создать шаблон. После этого достаточно указать имя шаблона и его описание, после чего он будет создан. Если у вас уже есть шаблоны, то вы можете редактировать их или создать новый шаблон на основе значений параметров существующего. Для этого в контекстном меню шаблона нужно выбрать команду Сохранить как.
Каждый шаблон состоит из следующих подразделов.
• Политики учетных записей – этот подраздел знаком вам по оснастке Групповая политика. Однако, кроме вложенных подразделов Политика паролей и Политика блокировки учетных записей, доступных в оснастке Групповая политика, он содержит еще один дочерний подраздел: Политика Kerberos. Он определяет параметры работы протокола Kerberos, используемого в домене Active Directory.
• Локальные политики – также знаком вам по оснастке Групповая политика. Как и там, этот подраздел включает в себя такие вложенные подразделы, как Политика аудита, Назначение прав пользователя, Параметры безопасности.
• Журнал событий – содержит такие параметры настройки ведения стандартных журналов Windows, как максимальные размеры журналов, указания, будет ли разрешено просматривать журналы пользователям группы Гости, какой интервал очистки журналов будет использоваться и т. д.
• Группы с ограниченным доступом – позволяет добавить в определенную группу временного пользователя (для повышения его прав на некоторое время). Для добавления ограниченного пользователя в группу нужно создать саму группу, в которую будет добавляться пользователь. Для этого нужно в контекстном меню подраздела Группы с ограниченным доступом выбрать команду Добавить группу. После этого система предложит вам указать нужную группу, а затем предложит добавить в нее новых пользователей.
• Системные службы – содержит список всех служб, доступных в системе, и позволяет определить способы их запуска.
• Реестр – позволяет указать права доступа к различным ветвям реестра. Для этого сначала нужно добавить в данный подраздел необходимую ветвь реестра , что легко сделать с помощью команды Добавить раздел контекстного меню. После этого оснастка предложит вам указать права для доступа к данной ветви реестра.
• Файловая система – позволяет указать права доступа к различным каталогам файловой системы Windows ХР. Для этого сначала нужно добавить в данный подраздел путь к каталогу. Это делается с помощью команды Добавить файл контекстного меню. После этого оснастка предложит вам выбрать права для доступа к данному каталогу или файлу, а также указать, будут ли определенные вами права распространяться на все вложенные в каталог папки и файлы.
После того как вы отредактируете шаблон безопасности, необходимо сохранить все сделанные изменения. Для этого в контекстном меню шаблона безопасности нужно выбрать команду Сохранить. После этого можно применить настройки созданного вами шаблона безопасности с помощью оснастки Анализ и настройка безопасности.
Управление ТРМCLSID-номер оснастки: {7d3830aa-e69e-4e17-8bdl-lb87b97099da}.
Библиотека: tpmcompc.dll.
Используется в стандартных консолях: tpm.msc.
Данная оснастка является нововведением операционной системы Windows Vista. С ее помощью можно управлять работой микросхемы ТРМ, которая устанавливается на современные материнские платы и позволяет хранить конфиденциальные данные пользователя, а также параметры конфигурации компьютера и операционной системы. Благодаря данной микросхеме можно повысить безопасность компьютера в отношении таких угроз, как самовольное добавление оборудования в компьютер, самовольная установка программ и т. д.Групповые политики для настройки ТРМ
Работу с ТРМ можно ограничить с помощью групповых политик. Для этого применяются политики, описанные в файле ТРМ. admx и расположенные в подразделе Конфигурация компьютера → Административные шаблоны → Система → Служба доверенного платформенного модуля. Политики данного подраздела изменяют следующие параметры REG_DWORD-типа, расположенные в ветви HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Microsoft\TPM.
• ActiveDirectoryBackup – если значение данного параметра равно 1, то будет разрешено копировать основную информацию о данных владельца ТРМ (криптографический хэш главного пароля ТРМ) на контроллер домена Active Directory.
• RequireActiveDirectoryBackup – если значение параметра равно 1, то копирование основной информации владельца ТРМ на контроллер домена Active Directory будет обязательным. При этом пароль владельца ТРМ не будет назначен, если архивирование нового пароля на контроллере домена не прошло успешно.
Некоторые возможности работы ТРМ можно настроить и с помощью следующих параметров REG_DWORD-типа ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\TPM\BlockedCommands.
• Enabled – если значение данного параметра равно 1, то операционная система будет использовать параметры строкового типа, расположенные в дочернем подразделе List ветви реестра , чтобы запретить определенные команды ТРМ.
• IgnoreDef aultList – при установке значения этого параметра равным 1 список команд ТРМ, выполнять которые по умолчанию запрещено, будет игнорироваться. Однако список дочернего подраздела List данной ветви реестра и локальный список команд ТРМ по-прежнему будут работать.
• IgnoreLocalList – если значение данного параметра равно 1, то локальный список команд ТРМ, выполнять которые запрещено, будет игнорироваться. Однако список дочернего подраздела List данной ветви реестра по-прежнему будет работать. Также будет работать список, определенный по умолчанию.Возможности репозитария CIM
Репозитарий CIM операционной системы Windows Vista также позволяет работать с чипом ТРМ. Для этого предназначено пространство имен \\root\CIMV2\Security\MicrosoftTpm. Оно включает в себя лишь один класс: Win32_Tpm, который определяет настройки работы чипа ТРМ и даже позволяет управлять его работой. Класс содержит следующие свойства, доступные только для чтения:
• Manufacturerld, тип: uint32 – определяет идентификатор производителя чипа ТРМ;
• Manuf acturerVersion, тип: string – указывает версию чипа ТРМ;
• Manuf acturerVersionInfo, тип: string – определяет версию чипа ТРМ;
• PhysicalPresenceVersionInfo, тип: string – указывает версию чипа ТРМ;
• SpecVersion, тип: string – определяет версию чипа ТРМ.
Класс также поддерживает следующие методы.
• AddBlockedCommand – добавляет команду к списку блокируемых команд. Входящий параметр: строковый параметр, определяющий команду. Возвращаемые параметры: нет.
• ChangeOwnerAuth – изменяет параметры аутентификации. Входящие строковые параметры:
• содержащий старую строку аутентификации;
• хранящий новую строку аутентификации. Возвращаемые параметры: нет.
• Clear – удаляет настройки чипа ТРМ.
Входящий параметр: строковый параметр, содержащий строку аутентификации.
Возвращаемые параметры: нет.
• ConvertToOwnerAuth – преобразует пароль в строку аутентификации.
Входящий параметр: строковый параметр, содержащий пароль для аутентификации.
Возвращаемый параметр: строковый параметр, содержащий строку аутентификации.
• CreateEndorsementKeyPair – создает пару ключей подтверждения.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• Disable – отключает чип ТРМ.
Входящий параметр: строковый параметр, содержащий строку аутентификации.
Возвращаемые параметры: нет.
• Enable – включает чип ТРМ.
Входящий параметр: строковый параметр, содержащий строку аутентификации.
Возвращаемые параметры: нет.
• GetPhysicalPresenceRequest – возвращает физическое присутствие запроса.
Входящие параметры: нет.
Возвращаемый параметр: определяет запрос, имеет тип uint32.
• GetPhysicalPresenceResponse – возвращает физическое присутствие ответа.
Входящие параметры: нет.
Возвращаемые параметры:
• определяет запрос, имеет тип uint32;
• определяет ответ, имеет тип uint32.
• GetPhysicalPresenceTransition – возвращает физическое присутствие перемещения.
Входящие параметры: нет.
Возвращаемый параметр: определяет перемещение, имеет тип uint32.
• IsActivated – определяет, активирован ли ТРМ.
Входящие параметры: нет.
Возвращаемый параметр: определяет, активирован ли ТРМ. Имеет тип boolean.
• IsCommandBlocked – определяет, заблокирована ли команда.
Входящий параметр: определяет порядок команды, имеет тип uint32.
Возвращаемый параметр: определяет, заблокирована ли команда, имеет тип uint32.
• IsCommandPresent – определяет команду, выполняемую в текущий момент.
Входящий параметр: определяет порядок команды, имеет тип uint32.
Возвращаемый параметр: определяет команду, выполняемую в текущий момент, имеет тип uint32.
• IsEnabled – определяет, включен ли ТРМ.
Входящие параметры: нет.
Возвращаемый параметр: определяет, включен ли ТРМ, имеет тип boolean.
• IsEndorsementKeyPairPresent – определяет, подтверждена ли текущая пара ключей.
Входящие параметры: нет.
Возвращаемый параметр: определяет, подтверждена ли текущая пара ключей, имеет тип boolean.
• IsOwned – определяет, является ли ТРМ-модуль основным.
Входящие параметры: нет.
Возвращаемый параметр: определяет, является ли ТРМ-модуль основным, имеет тип boolean.
• IsOwnerClearDisabled – определяет, запрещена ли очистка.
Входящие параметры: нет.
Возвращаемый
• IsOwnershipAllowed – определяет, разрешено ли владение.
Входящие параметры: нет.
Возвращаемый параметр: определяет, разрешено ли владение, имеет тип boolean.
• IsPhysicalClearDisabled – определяет, запрещена ли физическая очистка.
Входящие параметры: нет.
Возвращаемый параметр: определяет, запрещена ли физическая очистка, имеет тип boolean.
• IsPhysicalPresenceHardwareEnabled – определяет, разрешены ли текущие компоненты компьютера.
Входящие параметры: нет.
Возвращаемый параметр: определяет, разрешены ли текущие компоненты компьютера, имеет тип boolean.
• IsSrkAuthCompatible – определяет, поддерживается ли аутентификация.
Входящие параметры: нет.
Возвращаемый параметр: определяет, поддерживается ли аутентификация, имеет тип boolean.
• RemoveBlockedCommand – удаляет блокирующую команду. Входящий параметр: определяет порядок команды, имеет тип uint32. Возвращаемые параметры: нет.
• ResetAuthLockOut – сбрасывает блокировку аутентификации. Входящий параметр: определяет аутентификацию, имеет тип uint32. Возвращаемые параметры: нет.
• ResetSrkAuth – сбрасывает аутентификацию.
Входящий параметр: строковый параметр, содержащий строку аутентификации.
Возвращаемые параметры: нет.
• Self Test – выполняет самотестирование ТРМ.
Входящие параметры: нет.
Возвращаемый параметр: массив параметров типа uint8, содержащих результаты самотестирования ТРМ.
• SetPhysicalPresenceRequest – устанавливает текущий физический запрос. Входящий параметр: определяет запрос, имеет тип uint32. Возвращаемые параметры: нет.
• TakeOwnership – позволяет изменить владельца.
Входящий параметр: строковый параметр, содержащий строку аутентификации.
Возвращаемые параметры: нет.
Брандмауэр Windows в режиме повышенной безопасностиCLSID-номер оснастки: {b05566ac-f e9c-4368-be02-7a4cbb7cbell}.
Библиотека: AuthFWSnapin.dll.
Используется в стандартных консолях: secpol.msc, WF.msc.
В операционной системе Windows Vista, помимо стандартного окна Брандмауэр Windows, который совершенно не изменился, присутствует новая оснастка Брандмауэр Windows в режиме повышенной безопасности. Возможности этой оснастки существенно превышают возможности окна Брандмауэр Windows.
Сведения о работе стандартного брандмауэра операционной системы Windows Vista можно просмотреть с помощью счетчиков производительности объектов WFPv4 и WFPv6. Например, с их помощью можно узнать следующие сведения:
• количество отброшенных за последнюю секунду входящих и исходящих пакетов (счетчики Отброшено входящих пакетов/сек и Отброшено исходящих пакетов/сек), а также общее количество отброшенных пакетов (счетчик Отброшено пакетов/сек);
• количество заблокированных за последнюю секунду входящих и исходящих соединений (счетчики Заблокировано входящих подключений/сек и Заблокировано исходящих подключений/сек), а также количество разрешенных соединений (счетчики Разрешено входящих подключений/сек, Разрешено исходящих подключений/сек);
• общее количество входящих и исходящих соединений (счетчики Входящие подключения и Исходящие подключения), а также количество активных из них (счетчики Активные входящие подключения и Активные исходящие подключения).
При загрузке оснастки Брандмауэр Windows в режиме повышенной безопасности нужно указать компьютер, параметры брандмауэра которого будут загружены в оснастку. Основное окно оснастки представлено на рис. 5.18.
Основное окно оснастки состоит из следующих элементов.
• Обзор – отображает основные сведения о настройках брандмауэра: включен ли брандмауэр для доменного профиля (используется, если компьютер является частью домена Active Directory), частной сети и публичной сети (при создании сетевого подключения можно определить, является это подключение частным, то есть локальным, или публичным, то есть через Интернет), настроены ли фильтры входящего и исходящего соединения. Кроме того, данное поле содержит в себе ссылку Свойства брандмауэра Windows, с помощью которой отображается основное окно настройки брандмауэра.
• Приступая к работе – содержит четыре ссылки на подразделы оснастки Брандмауэр Windows в режиме повышенной безопасности: Правила безопасности подключений, Правила для входящих подключений, Правила для исходящих подключений и Наблюдение.
• Ресурсы – включает в себя ссылки на различные разделы справки операционной системы, описывающей те или иные аспекты работы с оснасткой Брандмауэр Windows в режиме повышенной безопасности.Окно Свойства
Окно настройки основных параметров работы брандмауэра можно отобразить как с помощью ссылки Свойства брандмауэра Windows основного окна оснастки, так и с помощью команды Свойства контекстного меню подраздела оснастки. Окно имеет четыре вкладки (рис. 5.19).
Вкладки Профиль домена, Частный профиль и Общий профиль имеют одни и те же возможности настройки, но настраивают, соответственно, работу доменного, частного и публичного профиля работы брандмауэра. Данные вкладки имеют следующие поля.
• Состояние – с помощью данного поля можно включить или отключить работу брандмауэра для данного типа сетевых подключений (раскрывающийся список Состояние брандмауэра), а также можно настроить действие по умолчанию для входящих и исходящих подключений (разрешены или не разрешены данные подключения).
• Параметры – если вы нажмете кнопку Настроить, то сможете настроить дополнительные параметры работы брандмауэра, указанные в следующих раскрывающихся списках:
– Вывести уведомление – определяет, будет ли отображаться сообщение о том, что входящее подключение было заблокировано;
– Разрешить одноадресный ответ – указывает, разрешено ли отвечать направленными сообщениями на групповые и широковещательные сообщения;
– Правила локального брандмауэра – определяет, разрешено ли применять правила стандартного брандмауэра данного компьютера;
– Правила безопасности локальных подкл. – указывает, разрешено ли применять правила сетевых подключений данного компьютера.
• Ведение журнала – если вы нажмете кнопку Настроить, то сможете настроить такие параметры ведения файла журнала, как путь к нему, максимальный размер файла, а также указать, будут ли в нем регистрироваться успешно установленные сетевые соединения и потерянные пакеты.
Это окно также содержит вкладку Параметры IPSec, на которой расположена кнопка Настроить и раскрывающийся список Исключить ICMP из IPSec. С помощью списка можно определить, будут ли пакеты протокола ICMP исключаться из трафика IPSec.
Если вы нажмете кнопку Настроить, то отобразится окно Выбор параметров IPSec, позволяющее настроить следующие параметры работы протокола IPSec.
• Обмен ключами (основной режим) – дает возможность изменить алгоритм шифрования, используемый при обмене ключами, алгоритм шифрования и проверки целостности передаваемых пакетов, а также время жизни ключа (как на основе количества прошедшего времени, так и на основе количества созданных сессий).
По умолчанию используется проверка целостности пакетов на основе алгоритма SHA1, но можно также использовать алгоритм MD5.
Используется шифрование пакетов с помощью алгоритма AES-128, но можно также использовать такие алгоритмы, как AES-256, AES-l92, 3DES, DES (AES-256 обеспечивает самое надежное шифрование, a DES – самое ненадежное, но быстрое).
По умолчанию используется шифрование ключей с помощью алгоритма Диффи-Хелмана второй группы. Можно также использовать такие разновидности алгоритма Диффи-Хелмана, как алгоритм первой группы, четырнадцатой, а также алгоритм эллиптической кривой Р-256 или Р-384. Алгоритм первой группы обеспечивает наименьшую защиту ключа. Алгоритмы на основе эллиптической кривой обеспечивают самое надежное шифрование, однако они поддерживаются только операционной системой Windows Vista.
• Защита данных (быстрый режим) – также позволяет изменить алгоритмы, используемые для шифрования и проверки целостности пакетов. Кроме того, с помощью данного поля можно определить, какой протокол и в какой последовательности будет использоваться при подключении по протоколу IPSec (ESP (использует как проверку целостности пакетов, так и шифрование) или АН (использует только проверку целостности пакетов)).
• Метод проверки подлинности – дает возможность изменить способ аутентификации пользователей при создании соединения на основе протокола IPSec. При этом можно указать следующие методы аутентификации:
– аутентификация компьютера и пользователя на основе протокола Кеrberos;
– аутентификация компьютера на основе протокола Kerberos;
– аутентификация пользователя на основе протокола Kerberos;
– использование сертификата пользователя для аутентификации;
– использование пароля.
Обратите также внимание на команду Восстановить значения по умолчанию контекстного меню оснастки. С ее помощью можно изменить все настройки брандмауэра на стандартные, если созданные настройки не удовлетворяют вашим требованиям. Стандартные настройки брандмауэра хранятся в ветви реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\ Firewall Pol icy. Текущие же параметры настройки брандмауэра хранятся в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ SharedAccess\Parameters\FirewallPolicy. Эти ветви реестра содержат одинаковые подразделы.
• DomainProfile, PublicProfile и StandardProfile – хранят настройки данного профиля брандмауэра. Например, в них содержатся такие параметры типа REG_DWORD, как EnableFirewall и DisableNotification. Кроме того, эти подразделы могут содержать дочерний подраздел Logging, хранящий настройки ведения файла журнала.
• FirewallRules – содержит параметры строкового типа, каждый из которых определяет одно правило для брандмауэра.
• RestrictedServices – хранит сведения о службах, доступ к сети которых запрещен.Подраздел Правила для входящих подключений
Этот подраздел оснастки содержит список всех правил для входящих подключений операционной системы. Он хранит множество стандартных правил, однако не все из них включены. Если напротив названия правила установлен значок в виде флажка, то данное правило используется. Если же напротив правила изображен значок со стрелкой вниз, то правило не используется. Чтобы включить или выключить использование данного правила, нужно в его контекстном меню выбрать соответственно команду Включить правило или Отключить правило. Можно также изменить параметры созданного правила. Для этого используется команда Свойства контекстного меню правила. После ее выбора отобразится окно, содержащее следующие вкладки.
• Общие – позволяет настроить имя правила и его описание, а также действие, которое будет выполнено при удовлетворении данного правила. В качестве действия могут использоваться следующие возможности:
– разрешить все подключения, удовлетворяющие данному правилу;
– разрешить только подключения на основе протокола IPSec (также можно дополнительно определить, должен ли при подключении использоваться протокол ESP);
– заблокировать все подключения, удовлетворяющие данному правилу.
• Программы и службы – дает возможность указать программы и службы, подключения которых подпадают под данное правило. По умолчанию правило создается для любых программ.
• Пользователи и компьютеры – позволяет определить компьютеры и пользователей, соединения которых будут всегда разрешены.
• Протоколы и порты – дает возможность настроить локальный и удаленный порт, а также протокол, который должен использоваться при соединении, чтобы оно удовлетворяло данному правилу. С помощью кнопки Параметры для некоторых протоколов можно определить конкретные типы пакетов данного протокола, на которые будет распространяться правило.
• Область – позволяет указать локальные и удаленные IP-адреса, для которых будет применяться данное правило.
• Дополнительно – дает возможность настроить дополнительные параметры работы правила. В частности, можно определить профиль сети, для которого будет применяться данное правило, а также интерфейс сетевого подключения, для которого будет применяться правило (локальное подключение, беспроводное подключение или удаленное подключение).
Конечно, по умолчанию присутствует довольно много правил для входящих подключений, но часто необходимо создать свое собственное правило. Для этого применяется команда Создать правило контекстного меню подраздела Правила для входящих подключений. После выбора данной команды отобразится мастер создания нового правила, который состоит из пяти шагов. На первом шаге нужно указать, на основе каких данных будет определяться работа правила (на основе названия программы, на основе службы, на основе определенного порта и протокола или на основе нескольких типов данных). После этого необходимо указать действие при удовлетворении сетевого подключения правилу, профиль сети, для которого будет применяться правило, имя правила и т. д. Все возможности настройки правила, которые предоставляет мастер, были описаны выше, при рассмотрении окна настройки правила.
Когда созданных правил для входящих подключений станет много, вам могут потребоваться такие команды контекстного меню подраздела Правила для входящих подключений как Фильтровать по профилю, Фильтровать по состоянию и Фильтровать по группе, которые позволят отобразить только удовлетворяющие фильтру правила.
Все описанные выше возможности подраздела Правила для входящих подключений присутствуют и в подразделе Правила для исходящего подключения. Как видно из названия, этот подраздел определяет правила для исходящих подключений.