Используем брандмауэр Windows в режиме повышенной безопасности


Общие сведения о развертывании брандмауэра Защитник Windows в режиме повышенной безопасности

Вы можете использовать оснастку MMC «Брандмауэр в режиме повышенной безопасности» Защитник Windows на устройствах под управлением по крайней мере Windows Vista или Windows Server 2008, чтобы защитить устройства и данные, которые они совместно используют по сети.

Для управления доступом к устройству из сети можно использовать брандмауэр Защитник Windows. Вы можете создать правила, которые разрешают или блокируют сетевой трафик в любом направлении в зависимости от бизнес-требований. Вы также можете создать правила безопасности подключения IPsec, которые помогут защитить данные при их перемещении по сети с устройства на устройство.

Сведения об этом руководстве

Это руководство предназначено для использования системными администраторами и системными инженерами. В нем содержится подробное руководство по развертыванию проекта брандмауэра Защитник Windows в режиме повышенной безопасности, выбранного вами или специалистом по инфраструктуре или системным архитектором в вашей организации.

Если вы еще не выбрали проект, рекомендуется подождать, чтобы выполнить инструкции в этом руководстве, пока вы не изучите варианты проектирования в руководстве по проектированию брандмауэра в режиме повышенной безопасности Защитник Windows и не выберете наиболее подходящий для вашей организации.

Выбрав проект и собрав необходимые сведения о зонах (изоляция, граница и шифрование), операционных системах для поддержки и других сведениях, вы можете использовать это руководство для развертывания Защитник Windows брандмауэра с повышенной безопасностью в рабочей среде. В этом руководстве приведены инструкции по развертыванию любого из следующих основных проектов, описанных в руководстве по проектированию:

  • Создание базовой политики брандмауэра
  • Создание политики изоляции домена
  • Создание политики изоляции сервера
  • Создание политики изоляции на основе сертификатов

Используйте контрольные списки в разделе Реализация плана разработки брандмауэра Защитник Windows с расширенной безопасностью, чтобы определить, как лучше всего использовать инструкции в этом руководстве для развертывания конкретной структуры.

Мы рекомендуем использовать описанные в этом руководстве методы только для объектов групповой политики, которые должны быть развернуты на большинстве устройств в организации, и только в том случае, если иерархия подразделений в домене Active Directory не соответствует потребностям развертывания этих объектов групповой политики. Эти характеристики типичны для объектов групповой политики для сценариев изоляции серверов и доменов, но не являются типичными для большинства других объектов групповой политики. Если иерархия подразделений поддерживает его, разверните объект групповой политики, связав его с подразделением нижнего уровня, содержащим все учетные записи, к которым применяется объект групповой политики.

Новые статьи:  Как открыть порты в Windows

В крупной корпоративной среде с сотнями или тысячами объектов групповой политики использование этого метода со слишком большим количеством объектов групповой политики может привести к созданию учетных записей пользователей или устройств, которые являются членами чрезмерного количества групп. это создание учетных записей может привести к проблемам с сетевым подключением в случае превышения ограничений сетевого протокола.

Что не предоставляется в этом руководстве

В этом руководстве не содержатся следующие сведения:

  • Руководство по созданию правил брандмауэра для определенных сетевых приложений. Эти сведения см. в разделе Параметры планирования для базовой политики брандмауэра руководства по проектированию брандмауэра Защитник Windows с расширенной безопасностью.
  • Руководство по настройке доменные службы Active Directory (AD DS) для поддержки групповая политика.
  • Руководство по настройке центров сертификации (ЦС) для создания сертификатов для проверки подлинности на основе сертификатов.

Дополнительные сведения о брандмауэре Защитник Windows с расширенной безопасностью см. в статье Общие сведения о брандмауэре Защитник Windows с расширенной безопасностью.

Включение брандмауэра Защитник Windows с расширенной безопасностью и настройка поведения по умолчанию

Чтобы включить брандмауэр Защитник Windows в режиме повышенной безопасности и настроить его поведение по умолчанию, используйте узел Брандмауэр Защитник Windows в режиме повышенной безопасности в консоли управления групповая политика.

Учетные данные администратора

Для выполнения этих процедур необходимо быть участником группы администраторов домена либо иметь делегированные разрешения на изменение объектов групповой политики.

Включение брандмауэра Защитник Windows и настройка поведения по умолчанию

  1. Откройте консоль управления групповой политикой в узле Брандмауэр Защитника Windows в режиме повышенной безопасности.
  2. В области сведений в разделе Обзор щелкните Свойства брандмауэра Защитника Windows.
  3. Для каждого типа сетевого расположения (домен, частный, общий) выполните следующие действия.

Примечание: Приведенные здесь действия указывают рекомендуемые значения для типичного развертывания. Используйте параметры, соответствующие структуре брандмауэра.

  1. Щелкните вкладку, соответствующую типу сетевого расположения.
  2. Измените состояние брандмауэра на Включено (рекомендуется).
  3. Измените входящие подключения на Блокировать (по умолчанию).
  4. Измените исходящие подключения на Разрешить (по умолчанию).

Брандмауэр Защитник Windows с повышенной безопасностью

В этом разделе представлен обзор функций брандмауэра Защитник Windows с расширенной безопасностью (WFAS) и протокола IPsec.

Новые статьи:  Варианты восстановления ОС Windows

Обзор брандмауэра Защитник Windows в режиме повышенной безопасности

Брандмауэр Защитник Windows в Windows 8, Windows 7, Windows Vista, Windows Server 2012, Windows Server 2008 и Windows Server 2008 R2 — это брандмауэр узла с отслеживанием состояния, который помогает защитить устройство, позволяя создавать правила, определяющие, какой сетевой трафик может поступать на устройство из сети и какой сетевой трафик разрешен устройству. отправить в сеть. Брандмауэр Защитник Windows также поддерживает протокол IPsec, который можно использовать для проверки подлинности с любого устройства, пытающегося связаться с вашим устройством. Если требуется проверка подлинности, устройства, которые не могут пройти проверку подлинности как доверенное устройство, не могут взаимодействовать с вашим устройством. Вы также можете использовать IPsec, чтобы требовать, чтобы определенный сетевой трафик был зашифрован, чтобы предотвратить его чтение анализаторами сетевых пакетов, которые могут быть подключены к сети вредоносным пользователем.

Оснастка MMC «Брандмауэр Защитник Windows в режиме повышенной безопасности» является более гибкой и предоставляет гораздо больше функциональных возможностей, чем удобный для потребителей интерфейс брандмауэра Защитник Windows, доступный в панель управления. Оба интерфейса взаимодействуют с одними и теми же базовыми службами, но обеспечивают различные уровни контроля над этими службами. Хотя программа брандмауэра Защитник Windows панель управления может защитить одно устройство в домашней среде, она не обеспечивает достаточное количество функций централизованного управления или безопасности для защиты более сложного сетевого трафика в типичной корпоративной среде.

Описание компонента

Защитник Windows Брандмауэр с расширенной безопасностью является важной частью многоуровневой модели безопасности. Предоставляя двусторонняя фильтрацию сетевого трафика на основе узла для устройства, брандмауэр Защитник Windows блокирует несанкционированный сетевой трафик, поступающий на локальное устройство или из него. Защитник Windows Брандмауэр также работает с сетевым информированием, чтобы он смог применить параметры безопасности, соответствующие типам сетей, к которым подключено устройство. Защитник Windows параметры конфигурации брандмауэра и протокола IPsec интегрированы в одну консоль управления Майкрософт (MMC) с именем Защитник Windows Брандмауэр, поэтому брандмауэр Защитник Windows также является важной частью стратегии изоляции сети.

Новые статьи:  На выбранном диске находится таблица MBR-разделов

Практическое применение

Для решения проблем с безопасностью сети организации брандмауэр Защитник Windows предлагает следующие преимущества:

  • Снижает риск угроз сетевой безопасности. брандмауэр Защитник Windows сокращает область атаки устройства, обеспечивая дополнительный уровень для модели глубинной защиты. Уменьшение поверхности атаки устройства повышает управляемость и снижает вероятность успешной атаки.
  • Защищает конфиденциальные данные и интеллектуальную собственность. Благодаря интеграции с IPsec брандмауэр Защитник Windows предоставляет простой способ обеспечить сквозное сетевое взаимодействие с проверкой подлинности. Он предоставляет масштабируемый многоуровневый доступ к доверенным сетевым ресурсам, помогая обеспечить целостность данных и при желании помогая защитить конфиденциальность данных.
  • Расширяет стоимость существующих инвестиций. Так как брандмауэр Защитник Windows — это брандмауэр на основе узла, который входит в состав операционной системы, другое оборудование или программное обеспечение не требуется. Брандмауэр Защитника Windows также предназначен для дополнения существующих решений для обеспечения безопасности сети, не относящихся к Майкрософт, с помощью задокументированных программных интерфейсов (API).

Оставьте комментарий