Exportovat (0) Tisk
Rozbalit vše

Brána firewall systému Windows v aktualizaci Service Pack 1 serveru Windows Server 2003

K čemu slouží Brána firewall systému Windows?

Brána firewall systému Windows (dříve označovaná jako Brána firewall pro připojení k Internetu) je softwarová brána firewall se stavovým filtrováním pro systémy Microsoft Windows XP a Microsoft Windows Server 2003. Poskytuje ochranu počítačům připojeným k síti tím, že zabraňuje průchodu nevyžádaného příchozího přenosu dat prostřednictvím protokolu TCP/IP verze 4 (IPv4) a TCP/IP verze 6 (IPv6). Mezi možnosti konfigurace patří:

  • konfigurace a povolení výjimek pro porty,
  • konfigurace a povolení výjimek pro aplikace,
  • konfigurace základních možností protokolu ICMP,
  • záznam zamítnutých paketů a úspěšných připojení do protokolu.

Po instalaci aktualizace Windows Server 2003 Service Pack 1 na serveru není brána firewall ve výchozím nastavení povolena. Bude povolena pouze v následujících situacích:

  • Pokud bylo dříve povoleno sdílení připojení k Internetu.
  • Pokud byla dříve povolena brána firewall pro připojení k Internetu.
  • Pokud se jedná o server s novou instalací systému Windows Server 2003 s aktualizací Service Pack 1 (vylepšená verze).

Nejlepší zdroje informací usnadňující porozumění způsobu fungování brány firewall systému Windows a způsobu využití v konkrétním prostředí představují informace a témata nápovědy týkající se této brány na webu Windows Server 2003 TechCenter na adrese http://go.microsoft.com/fwlink/?LinkId=48911 a v příručce Windows Firewall Operations Guide (Provozní příručka brány firewall systému Windows) na webu Windows Server 2003 TechCenter na adrese http://go.microsoft.com/fwlink/?LinkId=48912.

notePoznámka
Pokud se rozhodnete s vaším serverem používat Bránu firewall systému Windows, důrazně doporučujeme po zapnutí a konfiguraci brány servery restartovat. Brána firewall v systému Windows Server 2003 s aktualizací Service Pack 1 nyní podporuje výjimky aplikací a potřebuje stav těchto aplikací udržovat. Následkem toho dojde k chybě všech aplikací nebo služeb, které přidáte do seznamu výjimek brány firewall a které byly spuštěny ještě před spuštěním brány firewall. Po restartování serveru bude brána firewall spuštěna před všemi aplikacemi v seznamu výjimek a bude moci úspěšně udržovat stav těchto aplikací a správně s nimi zacházet.

Čeho se tato funkce týká?

Funkce se týká:

  • všech počítačů připojených k síti, včetně Internetu,
  • všech aplikací a služeb naslouchajících v síti,
  • všech aplikací, které nepracují se stavovým filtrováním.

Jaké nové funkce byly přidány k této funkci v aktualizaci Service Pack 1 pro systém Windows Server 2003?

Integrace brány firewall pro připojení k Internetu a brány firewall pro připojení k Internetu protokolu IPv6 do brány firewall systému Windows

Podrobný popis

Verze Brány firewall pro připojení k Internetu dodávaná se systémem Windows XP filtrovala pouze komunikaci přes protokol IPv4. Brána firewall pro připojení k Internetu protokolu IPv6 byla poprvé uvedena na trh v sadě Advanced Networking Pack pro systém Windows XP. V aktualizaci Windows Server 2003 Service Pack 1 jsou Brána firewall pro připojení k Internetu a Brána firewall pro připojení k Internetu přes protokol IPv6 integrovány do jedné součásti nazvané Brána firewall systému Windows.

Díky tomu platí všechny změny konfigurace pro komunikaci přes protokol IPv4 i IPv6. Je-li například otevřen statický port, je otevřen pro komunikaci přes protokol IPv4 i přes protokol IPv6.

Proč je tato změna důležitá?

Umožňuje snadnější správu konfigurace a větší kompatibilitu aplikací.

Co funguje jinak?

Služba pro bránu firewall pro připojení k Internetu je ze systému odebrána a nahrazena službou brána firewall systému Windows, která filtruje komunikaci přes protokol IPv4 i IPv6. Všechna rozhraní API brány firewall jsou nahrazena novými rozhraními API z aktualizace Windows Server 2003 Service Pack 1.

Jak tyto problémy vyřešit?

Další informace najdete v tomto dokumentu později v části Je nutné změnit kód, aby bylo možné používat aktualizaci Windows Server 2003 Service Pack 1.

Automatické zapnutí u nových instalací serveru Windows Server 2003 s aktualizací Service Pack

Podrobný popis

Brána firewall systému Windows je ve výchozím nastavení zapnuta pouze při nových instalacích systému Windows Server 2003 s aktualizací Service Pack. Brána poskytuje ochranu sítě v době, kdy si uživatelé aktualizují systém nejnovějšími opravami pomocí nové funkce Post-Setup Security Updates (Aktualizace zabezpečení po instalaci). Po dokončení aktualizací je brána firewall ihned vypnuta, pokud nebyla explicitně povolena.

Je-li server se systémem Windows Server 2003 aktualizován nebo upgradován na aktualizaci Service Pack 1, je brána firewall ve výchozím nastavení vypnuta a funkce aktualizací zabezpečení po instalaci systému není použita.

Proč je tato změna důležitá? Jaká nebezpečí pomáhá zmírňovat?

Díky automatickému povolení Brány firewall systému Windows u nových instalací je počítač více chráněn před mnohými útoky ze sítě v době, kdy je konfigurován nebo je do něj instalován software. Pokud by tato brána byla ve výchozím nastavení povolena, byl by vliv útoku viru MSBlaster značně omezen bez ohledu na to, zda byly v počítačích uživatelů nainstalovány odpovídající aktualizace.

Co funguje jinak?

Po nové instalaci vylepšené verze systému Windows Server 2003 s aktualizací Service Pack 1 je brána firewall systému Windows ve výchozím nastavení povolena a příchozí přenos dat je blokován až do dokončení instalace aktualizací zabezpečení po instalaci systému. To by mohlo způsobit nekompatibilitu aplikace nebo služby, pokud nebude pracovat ve výchozím nastavení se stavovým filtrováním.

Jak tyto problémy vyřešit?

Než budete pokračovat v další konfiguraci serveru, dokončete aktualizace zabezpečení po instalaci systému, které bránu firewall automaticky vypnou.

Jestliže chcete aktualizace Post-Setup Security Updates provést později, je také možné nakonfigurovat bránu firewall tak, aby pracovala s aplikacemi nebo službami, které potřebujete používat.

Konfigurace Průvodcem konfigurací zabezpečení

Podrobný popis

Bránu firewall systému Windows je vhodné zapnout a poprvé nakonfigurovat pro systém Windows Server 2003 s aktualizací Service Pack 1 pomocí Průvodce konfigurací zabezpečení. Průvodce bránu firewall automaticky zapne a vytvoří podle potřeb serveru příslušná nastavení. Další informace o uvedeném průvodci získáte v tomto dokumentu v části Průvodce konfigurací zabezpečení.

Proč je tato změna důležitá?

Některé serverové součásti a aplikace by se neměly používat s bránou firewall systému Windows nebo by se měly používat ve velmi specifických konfiguracích. Průvodce konfigurací zabezpečení (SCW) byl vytvořen proto, aby vám pomohl zjistit doporučené nastavení pro bránu firewall v závislosti na vašem prostředí.

Zabezpečení při spouštění počítače

Podrobný popis

V dřívějších verzích systém Windows existuje doba mezi vznikem zásobníku sítě a poskytnutí ochrany Bránou firewall pro připojení k Internetu. Následkem toho je možné, že bude do nějaké služby přijat a doručen paket, aniž by Brána firewall pro připojení k Internetu poskytla potřebné filtrování, a zvyšuje se zranitelnost počítače. Příčinou byla skutečnost, že ovladač brány firewall spouští filtr až po zavedení služby uživatelského režimu brány firewall a po použití příslušných nastavení zásad. Služba firewall obsahuje řadu závislostí, které způsobují, že služba čeká na vyřešení těchto závislostí, než aplikuje zásadu na ovladač. Tato doba závisí na rychlosti počítače.

V aktualizaci Windows Server 2003 Service Pack 1 obsahují ovladače brány firewall pro protokoly IPv4 a IPv6 statické pravidlo, které provádí stavové filtrování. Toto statické pravidlo se nazývá zásada pro spouštění. Umožňuje počítači provádět základní funkce v síti (například DNS a DHCP) a komunikovat s řadičem domény za účelem získání nastavení zásad. Po spuštění funkce Brána firewall systému Windows zavede a použije nastavení zásad pro režim runtime. Zásadu pro spouštění nelze nakonfigurovat.

Pokud je funkce Brána firewall systému Windows (uvedená ve Správci řízení služeb jako Brána firewall systému Windows/Sdílení připojení k Internetu) nastavena na režim Ručně nebo Zakázáno, není při spouštění zajištěno žádné zabezpečení.

Proč je tato změna důležitá? Jaká nebezpečí pomáhá zmírňovat?

Díky této změně je při spouštění a vypínání počítač ohrožen méně útoky.

Co funguje jinak?

Jestliže se nezdaří spuštění služby Brána firewall systému Windows, zůstane zabezpečení pro spouštění účinné. To znamená, že všechna příchozí připojení jsou blokována. V takovém případě nebude možné řešit potíže vzdáleně, protože budou zavřeny všechny porty včetně portu používaného ke vzdálenému sdílení plochy.

Pokud se služba pokusí zahájit činnost před službou brány firewall, může vzniknout stav soupeření. Pokud je nezbytná služba tímto stavem blokována, budete potřebovat bránu firewall systému Windows deaktivovat.

Jak tyto problémy vyřešit?

Chcete-li vypnout zabezpečení pro spouštění, zastavte službu Brána firewall systému Windows/Sdílení připojení k Internetu (ICS) a nastavte typ jejího spouštění na hodnotu Ručně nebo Zakázáno.

Je-li počítač v režimu zabezpečení pro spouštění, protože služba firewall se nespustila, musí se správce přihlásit k počítači, vyřešit příčinu selhání a potom spustit službu brány firewall ručně.

Spuštění v nouzovém režimu (brána firewall v nouzovém režimu)

Podrobný popis

Stav brány firewall je při spuštění serveru v nouzovém režimu zachován.

Proč je tato změna důležitá?

S touto změnou je váš počítač lépe odolný proti útoku při spuštění v nouzovém režimu a připojení k síti.

Co funguje jinak?

V předchozích verzích nebyla brána pro připojení k Internetu při spuštění v nouzovém režimu k dispozici.

Globální konfigurace

Podrobný popis

V dřívějších verzích systému Windows byla brána firewall pro připojení k Internetu konfigurována podle jednotlivých rozhraní. To znamenalo, že každé síťové připojení mělo vlastní sadu nastavení brány firewall, například jedna sada nastavení pro bezdrátovou síť, jiná pro síť Ethernet. To ztěžovalo synchronizaci nastavení brány firewall mezi připojeními. Navíc by nová připojení neobsahovala žádné změny konfigurace, které byly použity na stávající připojení. Nestandardní síťová připojení, například ta vytvořená vytáčecími programy jiných společností (jako síťová vytáčená připojení konfigurovaná poskytovateli internetového připojení), nemohla být chráněna.

Díky globální konfiguraci v bráně firewall systému Windows jsou všechny změny konfigurace automaticky použity na všechna síťová připojení ve složce Síťová připojení, včetně vytáčených připojení jiných společností než Microsoft. Konfigurace bude použita i na nově vytvořená připojení. Konfiguraci lze i přesto provádět na základě jednotlivých rozhraní. Nestandardní síťová připojení budou mít pouze globální konfiguraci. Změny konfigurace platí pro protokol IPv4 i IPv6.

Proč je tato změna důležitá?

Globální konfigurace uživatelům usnadňuje správu zásad brány firewall v rámci všech síťových připojení a umožňuje konfiguraci prostřednictvím zásad skupiny. Umožňují také povolit, aby aplikace pracovaly v libovolném rozhraní s jednou možností konfigurace.

Co funguje jinak?

V dřívějších verzích systému Windows Server byla brána firewall konfigurována na základě jednotlivých rozhraní. V systému Windows Server 2003 s aktualizací Service Pack 1 je konfigurace globální a platí pro protokol IPv4 i IPv6.

Jak tyto problémy vyřešit?

Pokud aplikace nebo služba vyžaduje ke své práci statické otevřené porty, měli byste je otevřít globálně podle popisu uvedeném v tomto tématu později v části Je nutné změnit kód, aby bylo možné používat aktualizaci Windows Server 2003 Service Pack 1.

Protokolování auditu

Podrobný popis

Protokolování auditu umožňuje sledovat změny provedené v nastavení Brány firewall systému Windows a zobrazit, které aplikace a služby žádaly váš počítač, aby naslouchal na některém portu. Po povolení protokolování auditu budou události auditu zaznamenávány do protokolu událostí zabezpečení. Protokolování auditu lze povolit v klientských počítačích se systémem Windows XP s aktualizací Service Pack 2 a na serverech se systémem Windows Server 2003 s aktualizací Service Pack 1. Protokolování auditu můžete v počítači povolit následujícím postupem.

Povolení protokolování auditu
  1. Přihlaste se pomocí účtu místního správce.

  2. Klepněte na tlačítko Start, na příkaz Ovládací panely a na položku Nástroje pro správu.

  3. V okně Nástroje pro správu poklepejte na položku Místní zásady zabezpečení. Otevře se konzola Místní nastavení zabezpečení.

  4. Ve stromu konzoly Místní nastavení zabezpečení klepněte na položku Místní zásady a pak na položku Zásady auditu.

  5. V podokně podrobností konzoly Místní nastavení zabezpečení poklepejte na položku Auditovat změny zásad. Zvolte možnost ÚspěchNeúspěch a klepněte na tlačítko OK.

  6. V podokně podrobností konzoly Místní nastavení zabezpečení poklepejte na položku Auditovat sledování procesů. Zvolte možnost ÚspěchNeúspěch a klepněte na tlačítko OK.

Protokolování auditu můžete také povolit ve více počítačích v doméně adresářové služby Active Directory pomocí zásad skupiny úpravou nastavení Auditovat změny zásad a Auditovat sledování procesů ve složce Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Zásady auditu pro objekty zásad skupiny v příslušných systémových kontejnerech domény.

Jakmile je protokolování auditu povoleno, můžete pomocí modulu snap-in Prohlížeč událostí zobrazit události auditu v protokolu událostí zabezpečení.

Brána firewall systému Windows používá následující ID události:

  • 848 – Zobrazí počáteční konfiguraci brány firewall systému Windows.
  • 849 – Zobrazí konfiguraci výjimek pro aplikaci.
  • 850 – Zobrazí konfiguraci výjimek pro port.
  • 851 – Zobrazí změnu provedenou v seznamu výjimek pro aplikaci.
  • 852 – Zobrazí změnu provedenou v seznamu výjimek pro port.
  • 853 – Zobrazí změnu provedenou v seznamu výjimek pro režim práce brány firewall systému Windows.
  • 854 – Zobrazí změnu provedenou v nastavení protokolování brány firewall systému Windows.
  • 855 – Zobrazí změnu provedenou v nastavení protokolu ICMP.
  • 856 – Zobrazí změnu provedenou v nastavení zákazu odpovědí jednosměrového vysílání na požadavky vícesměrového a všesměrového vysílání.
  • 857 – Zobrazí změnu provedenou v nastavení vzdálené správy.
  • 858 – Zobrazí vliv nastavení zásad skupiny brány firewall systému Windows.
  • 859 – Zobrazí odebrání nastavení zásad skupiny brány firewall systému Windows.
  • 860 – Zobrazí změnu provedenou v jiném profilu.
  • 861 – Zobrazí aplikaci, která se pokouší poslouchat příchozí komunikaci.

Proč je tato změna důležitá?

Audit činnosti brány firewall systému Windows tvoří součást strategie hloubkové obrany, protože může uživatele upozornit na škodlivý software, který se snaží o změnu nastavení brány firewall. V obecné rovině audit zároveň správcům usnadňuje určit požadavky aplikací související se sítí a navrhnout odpovídající zásady pro nasazení u velkého počtu uživatelů.

Vytváření oborů datové komunikace pro účely výjimek

Podrobný popis

Brána pro připojení k Internetu povolovala, aby komunikace s výjimkami pocházela z libovolné adresy protokolu IPv4. S Bránou firewall systému Windows v systému Windows Server 2003 s aktualizací Service Pack 1 můžete také nakonfigurovat výjimku, která bude povolovat příchozí komunikaci pouze z adres, které jsou přímo dosažitelné vybráním možnosti rozsahu Pouze vnitřní síť (stejná podsíť) (podle položek ve směrovací tabulce protokolů IPv4 a IPv6) nebo ze specifických rozsahů adres protokolu IPv4 výběrem možnosti rozsahu Vlastní seznam.

U počítačů v pracovní skupině jsou ve výchozím nastavení některé výjimky omezeny na místně dosažitelné adresy. Jde o výjimky potřebné pro sdílení souborů a tiskáren a architekturu UPnP. Pokud navíc tyto výjimky otevřete v hostitelském počítači Sdílení připojení k Internetu pro místně dosažitelné adresy, nebudou tyto výjimky otevřeny ve veřejném rozhraní Sdílení připojení k Internetu. Pokud povolíte tyto výjimky pro všechny možné adresy, budou otevřeny ve veřejném rozhraní Sdílení připojení k Internetu, což se nedoporučuje. Pokud povolíte integrovanou výjimku Sdílení souborů a tiskáren pomocí rozhraní API NetShare, pomocí Průvodce instalací sítě nebo pomocí uživatelského rozhraní Brány firewall systému Windows, budou moci příchozí požadavky na připojení sdílení souborů a tiskáren přicházet ve výchozím nastavení pouze z přímo dosažitelných adres.

Pokud povolujete bránu firewall systému Windows na serveru, který již byl konfigurován pro sdílení souborů a tiskáren, může být výjimka Sdílení souborů a tiskáren povolena automaticky. Omezení na místně dosažitelné adresy doporučujeme použít na každou výjimku, která slouží ke komunikaci v místní síti. Toto nastavení je možné naprogramovat na příkazovém řádku pomocí nástroje Netsh Helper brány firewall systému Windows nebo nakonfigurovat po klepnutí na panel Brána firewall systému Windows v Ovládacích panelech.

notePoznámka
Nejvhodnější je pro výjimky, které zadáte pro bránu firewall systému Windows, určit vlastní rozsahy se specifickými adresami nebo podsítěmi. Jakmile nakonfigurujete a povolíte výjimku, nastavujete bránu firewall systému Windows na povolení konkrétního nevyžádaného příchozího přenosu dat odeslaného z určeného rozsahu (z libovolné adresy, z adresy dosažitelné přímo nebo z vlastního seznamu). Povolením výjimky u jakéhokoli rozsahu vystavujete počítač útokům v podobě příchozího nevyžádaného přenosu dat z počítačů, kterým jsou povolené adresy přiřazeny, a z počítačů uživatelů se zlými úmysly přenášejících podvodná data. Kromě zakázání dané výjimky neexistuje jiný způsob, jak zabránit útokům podvodných identit z Internetu u připojení přiřazených veřejným adresám protokolu IPv4. Proto byste se měli pokusit nakonfigurovat možnosti rozsahu tak, aby byl počet počítačů, kterým je povoleno odesílat nevyžádaný přenos dat prostřednictvím výjimky, minimální. Tímto způsobem snížíte, i když ne zcela vyloučíte, pravděpodobnost útoku podvodných identit. Pokud zásady zabezpečení organizace vyžadují, aby přístup k prostředkům neměl žádný uživatel mimo danou síť, doporučujeme například zvážit použití protokolu IPSec, který podporuje ověřování partnerů na úrovni sítě, ověřování původu dat, integritu dat, šifrování dat a ochranu odpovědí.

Proč je tato změna důležitá? Jaká nebezpečí pomáhá zmírňovat?

Některé aplikace potřebují komunikovat pouze s jinými počítači v místní síti a ne s počítači v Internetu. Nakonfigurujete-li Bránu firewall systému Windows tak, aby povolovala pouze komunikaci z místně dosažitelných adres nebo ze specifických rozsahů adres odpovídajících místně připojeným podsítím, omezí sadu adres, ze kterých bude možné přijmout nevyžádanou příchozí komunikaci. Následkem je zmírnění, nikoli však eliminace útoků, k nimž může dojít u povolených výjimek.

Co funguje jinak?

Pokud je v počítači, který je členem pracovní skupiny, pomocí Ovládacích panelů povolena výjimka Sdílení souborů a tiskáren nebo integrovaná výjimka architektury UPnP, je u otevřených portů použit rozsah místně dostupných adres. Pokud aplikace nebo služba také používá tyto porty, bude moci komunikovat pouze s jinými uzly, kterým jsou přiřazeny místně dosažitelné adresy. Pokud je však počítač členem domény, použije se globální rozsah.

Jestliže nejsou tyto výjimky povoleny z Ovládacích panelů, ale pomocí volání rozhraní API nebo pomocí nástroje Netsh.exe, představují výchozí nastavení rozsahu místně dosažitelné adresy bez ohledu na to, zda je počítač členem pracovní skupiny nebo domény.

Jak tyto problémy vyřešit?

Pokud aplikace nebo služba s tímto typem omezení nepracuje, měli byste port otevřít pro každý počítač podle popisu uvedeném v tomto dokumentu později v části Je nutné změnit kód, aby bylo možné používat aktualizaci Windows Server 2003 Service Pack 1.

Podpora příkazového řádku

Podrobný popis

Nástroj Netsh Helper Brány firewall systému Windows byl přidán do systému Windows XP v sadě Advanced Networking Pack. Platil pouze pro Bránu firewall systému Windows protokolu IPv6. V aktualizaci Windows Server 2003 Service Pack 1 se struktura a syntaxe nástroje mění a rozšiřují, aby nástroj podporoval také konfiguraci pro protokol IPv4. Pomocí nástroje Netsh Helper můžete bez omezení konfigurovat Bránu firewall systému Windows včetně těchto možností:

  • konfigurace výchozího stavu Brány firewall systému Windows (vypnuto, zapnuto, zapnuto bez výjimek),
  • konfigurace portů, které musí být otevřeny,
  • konfigurace portů k povolení globálního přístupu nebo k omezení přístupu do místní podsítě,
  • nastavení portů tak, aby byly otevřeny ve všech rozhraních nebo pouze v určitých rozhraních,
  • konfigurace možností protokolování,
  • konfigurace možností zpracování protokolu ICMP,
  • konfigurace a povolení výjimek pro aplikace.

Konfiguraci brány firewall systému Windows a informace o stavu lze načíst na příkazovém řádku pomocí kontextu nástroje Netsh.exe: firewall.

Chcete-li použít tento kontext, zadejte na příkazovém řádku netsh firewall a potom použijte podle potřeby další příkazy Netsh.

Při sbírání informací o stavu brány firewall a konfiguraci jsou užitečné následující příkazy, které mohou být užitečné i při řešení potíží s činností brány firewall:

  • Netsh firewall show state
  • Netsh firewall show config

K úpravě konfigurace brány firewall systému Windows je možné použít následující příkazy:

 

Příkaz Popis

add allowedprogram

Slouží k přidání výjimek komunikace zadáním názvu souboru aplikace.

set allowedprogram

Umožňuje upravit nastavení výjimky existující povolené aplikace.

delete allowedprogram

Umožňuje odstranit výjimku existující povolené aplikace.

set icmpsetting

Slouží k zadání povolené komunikace ICMP.

set logging

Umožňuje určit možnosti protokolování.

set notifications

Slouží k zadání, zda jsou povolena upozornění uživateli, když se aplikace pokoušejí otevřít porty.

set opmode

Umožňuje zadat provozní režim brány firewall systému Windows globálně nebo pro konkrétní připojení (rozhraní).

add portopening

Slouží k přidání výjimek komunikace zadáním portu TCP nebo UDP.

set portopening

Umožňuje upravit nastavení výjimky existujícího otevřeného portu TCP nebo UDP.

delete portopening

Umožňuje odstranit výjimku existujícího otevřeného portu TCP nebo UDP.

set service

Slouží k povolení nebo blokování komunikace vzdáleného volání procedur (RPC) a modelu DCOM, vzdálené plochy, sdílení souborů a tiskáren a komunikace UPnP.

reset

Umožňuje obnovit výchozí konfiguraci brány firewall. Jedná se o stejnou funkci, jakou zajišťuje tlačítko Obnovit výchozí panelu Brána firewall systému Windows v Ovládacích panelech.

V následující tabulce jsou uvedeny detaily příkazů pro zobrazení podporované bránou firewall systému Windows.

 

Příkaz Popis

show allowedprogram

Zobrazí povolené aplikace.

show config

Zobrazí podrobné informace o místní konfiguraci.

show currentprofile

Zobrazí aktuální profil.

show icmpsetting

Zobrazí nastavení protokolu ICMP.

show logging

Zobrazí nastavení protokolování.

show notification settings

Zobrazí aktuální nastavení upozornění.

show opmode

Zobrazí provozní režim profilů a rozhraní.

show portopening

Zobrazí porty s výjimkami.

show service

Zobrazí nastavení výjimky služeb.

show state

Zobrazí informace o aktuálním stavu.

Můžete porovnat výstup těchto příkazů s výstupem příkazu netstat –ano a určit aplikace, které mohou mít otevřené naslouchající porty a nemusí mít odpovídající výjimky v konfiguraci brány firewall.

Proč je tato změna důležitá?

Rozhraní příkazového řádku poskytuje správcům metodu, jak konfigurovat Bránu firewall systému Windows, aniž by museli procházet grafickým uživatelským rozhraním. Rozhraní příkazového řádku lze použít v přihlašovacích skriptech a vzdálené správě.

Co funguje jinak?

Žádný skript vytvořený nástrojem Netsh Helper, který byl dodáván v sadě Advanced Networking Pack pro systém Windows XP, již nefunguje a je nutné jej aktualizovat.

Jak tyto problémy vyřešit?

Aktualizujte všechny skripty, aby obsahovaly kontext a syntaxi nové brány firewall.

Provozní režim Zapnuto bez výjimek

Podrobný popis

V Bráně firewall systému Windows lze nakonfigurovat výjimky, které při normálním použití povolí konkrétní nevyžádanou příchozí komunikaci. Obvyklým důvodem jsou postupy, kdy je nutné povolit některé možnosti, například sdílení souborů a tiskáren. Pokud je v jedné nebo více naslouchacích službách či aplikacích spuštěných v počítači zjištěn problém, může být nutné, aby počítač přepnul do pouze klientského režimu, který se nazývá Zapnuto bez výjimek. V tomto režimu zabraňuje Brána firewall systému Windows průchodu veškeré nevyžádané příchozí komunikace, aniž by bylo nutné bránu znovu konfigurovat.

V tomto režimu jsou všechny výjimky dočasně zakázány a všechna existující připojení přerušena. Je povoleno každé rozhraní API, které volá do brány firewall systému Windows za účelem vytvoření výjimky a je uložena požadovaná konfigurace brány, ale není povolena, dokud nebude režim přepnut zpět na normální. Jsou také ignorovány všechny požadavky aplikací na naslouchání. Nezobrazí se dialogy upozornění, naslouchání aplikace na portu je účinně blokováno, když je počítač v provozním režimu.

Proč je tato změna důležitá?

Pokud je systém sítě napaden viry, červy a jinými typy útoku, hledá útočník služby, které by mohl zneužít. Provozní režim Zapnuto bez výjimek představuje způsob rychlého uzamčení systému v případě útoku, takže není možné zneužít platné výjimky a obejít ochranu počítače zajišťovanou bránou firewall systému Windows.

Co funguje jinak?

V tomto provozním režimu počítač nemůže naslouchat požadavkům ze sítě. Všechna existující příchozí připojení budou ukončena. Úspěšná budou pouze odchozí připojení.

Jak tyto problémy vyřešit?

V tomto provozním režimu se očekává, že některé funkce nebudou pracovat z důvodu aktivního přísného zabezpečení sítě. Funkce můžete obnovit přepnutím do provozního režimu Zapnuto. Tuto akci by měl uživatel provést pouze po identifikaci a zmírnění hrozby, protože provedení této akce sníží zabezpečení počítače.

Výjimky pro aplikace

Podrobný popis

Některé aplikace nebo služby vystupují jako síťoví klienti i servery. Pokud pracují jako servery, musí umožnit vstup nevyžádané příchozí komunikaci, protože nevědí předem, kdo bude partnerem.

V dřívějších verzích systému Windows musela aplikace volat rozhraní API brány firewall, aby povolila otevření potřebných naslouchacích portů. Ukázalo se, že je to obtížné v situacích na partnerské úrovni (peer-to-peer), kdy port nebyl znám předem. Bylo na aplikaci, aby port po skončení komunikace znovu zavřela. Pokud je aplikace neočekávaně ukončena, může to mít za následek zbytečné otevření portů v bráně firewall.

Další problém týkající se předchozí metody otevírání portů brány firewall představuje skutečnost, že porty bylo možné otevřít pouze tehdy, když byly aplikace spuštěny v kontextu zabezpečení místního správce. To narušovalo základní princip nejmenšího počtu oprávnění pro bezpečnost informací, protože bylo nutné spouštět aplikace ve správcovském kontextu místo spouštění pouze s minimem potřebných oprávnění.

V systému Windows Server 2003 s aktualizací Service Pack 1 lze aplikaci, která potřebuje naslouchat síti, přidat do seznamu výjimek Brány firewall systému Windows. Je-li aplikace povolena v tomto seznamu, brána firewall systému Windows otevírá a zavírá potřebné naslouchací porty automaticky, bez ohledu na kontext zabezpečení aplikace. Další informace o přidávání aplikací do seznamu výjimek Brány firewall systému Windows najdete dále v tomto dokumentu v části Jak tyto problémy vyřešit?.

Aplikace pracující se stavovým filtrováním není nutné do seznamu výjimek Brány firewall systému Windows přidávat. Aplikaci do seznamu výjimek Brány firewall systému Windows může přidat pouze správce.

Proč je tato změna důležitá? Jaká nebezpečí pomáhá zmírňovat?

Je-li aplikace v seznamu výjimek Brány firewall systému Windows, jsou otevřeny pouze potřebné porty a jsou otvírány pouze po dobu, kdy aplikace na těchto portech naslouchá.

Co funguje jinak?

Jestliže aplikace potřebuje naslouchat v síti, musí být povolena v seznamu výjimek brány firewall systému Windows. Pokud není, potřebný port v Bráně firewall systému Windows není otevřený a aplikace nebude moci přijímat nevyžádanou příchozí komunikaci.

Jak tyto problémy vyřešit?

Aplikaci lze do seznamu výjimek Brány firewall systému Windows přidat pěti způsoby:

  1. Naprogramování: Doporučujeme, aby nezávislí dodavatelé softwaru zadávali své aplikace do seznamu výjimek brány firewall systému Windows při instalaci. Další informace o přidání aplikace do seznamu výjimek díky naprogramování najdete v tomto dokumentu později v části Je nutné změnit kód, aby bylo možné používat aktualizaci Windows Server 2003 Service Pack 1.
  2. Rozhraní příkazového řádku: Tuto metodu mohou použít správci IT, kteří spravují systém Windows XP a Windows Server 2003 pomocí skriptů nebo jiných nástrojů příkazového řádku.
  3. Nastavení zásad skupiny: Tuto metodu mohou použít správci IT k přidání aplikace do seznamu výjimek pomocí zásad skupiny.
  4. Upozornění brány firewall systému Windows: Uživatel s právy správce může interaktivně zpracovat upozornění Brány firewall systému Windows a přidat aplikaci do seznamu výjimek.
    Jestliže aplikace provede naslouchání TCP nebo vazbu UDP na port s nezástupným znakem, předá zásobník sítě název aplikace a port do Brány firewall systému Windows. Brána firewall systému Windows vyhledá název aplikace v seznamu výjimek. Bude-li aplikace v seznamu výjimek a bude povolená, bude v bráně firewall otevřen odpovídající port. Bude-li aplikace v seznamu výjimek a bude zakázaná, nebude odpovídající port otevřen. Nebude-li aplikace v seznamu výjimek, budou uživatelé dotázáni, aby další akci zvolili. Budou-li mít uživatelé oprávnění správce, mohou:
    • Odblokovat aplikaci, aby mohla naslouchat v síti. Bude přidána do seznamu výjimek, bude povolena a port bude otevřen.
    • Zablokovat naslouchání aplikace v síti. Bude přidána do seznamu výjimek, bude zakázána a port nebude otevřen.
    • Rozhodnout se, aby byl dotaz zobrazen později znovu. Aplikace nebude přidána do seznamu výjimek a port nebude otevřen.
    Jestliže uživatel nebude mít práva správce, bude upozorněn, že aplikace nemůže naslouchat v síti a že výjimku aplikace musí povolit správce. Pokud uživatel zaškrtne políčko Tento dotaz již příště nezobrazovat, bude aplikace uvedena v seznamu výjimek jako zakázaná
    notePoznámka
    Upozornění lze použít pouze u aplikací, nikoli u služeb.
  5. Ruční konfigurace: Správci mohou rozhodnout, zda aplikaci povolí ručně na panelu Brána firewall systému Windows v Ovládacích panelech jejím výběrem ze seznamu aplikací z nabídky Start nebo vyhledáním aplikace.

Více profilů

Podrobný popis

Podpora vícenásobných profilů v Bráně firewall systému Windows umožňuje vytvořit dvě sady nastavení zásad brány firewall: Jednu pro případ, kdy počítač je připojen ke spravované síti, a jednu pro případ, kdy počítač není připojen ke spravované síti. Můžete zadat nastavení, které bude méně přísné pro případ, kdy je počítač připojen k podnikové síti, aby mohly podnikové aplikace pracovat. Můžete také využívat agresivnější nastavení zásad zabezpečení, které bude použito v případě, kdy počítač nebude začleněn do podnikové sítě, což přispívá k ochraně mobilních uživatelů.

notePoznámka
Více profilů brány firewall systému Windows lze použít pouze u počítačů připojených k doméně služby Active Directory. Počítače v pracovní skupině používají jen jeden profil.

Proč je tato změna důležitá? Jaká nebezpečí pomáhá zmírňovat?

U přenosného počítače je žádoucí mít více než jednu konfiguraci brány firewall. Často se stává, že konfigurace, která je bezpečná v podnikové síti, je náchylnější k útokům z Internetu. Proto je k zajištění, aby v danou dobu byly vystaveny vlivům okolí pouze potřebné porty, extrémně důležité, aby bylo možné mít porty otevřené v podnikové síti a nikoli v jiných sítích.

Co funguje jinak?

Pokud je potřeba aplikaci zadat do seznamu výjimek Brány firewall systému Windows, aby pracovala správně, nemusí pracovat v obou sítích, neboť dané dva profily nemusejí mít stejnou sadu nastavení zabezpečení. Aby aplikace pracovala ve všech sítích, musí být uvedena v obou profilech. Další informace o seznamu výjimek Brány firewall systému Windows naleznete v předchozí části.

Jak tyto problémy vyřešit?

Je-li počítač připojený k doméně, je třeba zajistit, aby aplikace byla uvedena v obou konfiguracích brány firewall. Zvažte vytvoření výjimek prostřednictvím rozhraní příkazového řádku nebo zásad skupiny, protože z panelu Brána firewall systému Windows v Ovládacíchpanelech získáte přístup pouze k aktuálně spuštěnému profilu.

Podpora vzdáleného volání procedury pro systémové služby

Podrobný popis

V dřívějších verzích systému Windows blokovala Brána firewall pro připojení k Internetu komunikaci vzdáleného volání procedury (RPC). Brána firewall pro připojení k Internetu mohla být nakonfigurována tak, aby povolovala síťový přenos dat do mapovače koncových bodů RPC, ale port používaný serverem RPC byl neznámý, takže by stejně došlo k chybě aplikace.

Mnoho akcí podnikových aplikací a součástí se nezdaří, pokud vzdálené volání procedury nemůže komunikovat prostřednictvím sítě. Příkladem mohou být mimo jiné následující akce:

  • vzdálená správa, například funkce Správa počítače a dialogové okno Select User, Computers, and Groups (Vybrat uživatele, počítače a skupiny), které používá mnoho aplikací;
  • konfigurace služby WMI (Windows Management Instrumentation);
  • skripty, které spravují vzdálené klienty a servery.

Vzdálené volání procedur otevře několik portů a pak na nich vystaví mnoho různých serverů. Potom vyžaduje, aby brána firewall systému Windows vytvořila pro uvedené porty příslušné výjimky. Jestliže je tato brána nakonfigurována na povolení takových požadavků, budou požadované porty otevřeny po dobu, po kterou vzdálené volání procedur danou výjimku vyžaduje (podobně jako u výjimky aplikace).

Proč je tato změna důležitá? Jaká nebezpečí pomáhá zmírňovat?

Chcete-li povolit postupy se vzdálenou správou, je v mnoha podnikových implementacích nutné, aby ve výchozím nastavení systémové služby, které používají vzdálené volání procedur, pracovaly s Bránou firewall systému Windows.

Co funguje jinak?

Ve výchozím nastavení vzdálené volání procedur nepracuje s Bránou firewall systému Windows. To má vliv na všechny systémové služby, které vzdálené volání procedur používají. Bránu firewall systému Windows však lze nakonfigurovat pomocí nastavení vzdálené správy tak, aby povolila využití vzdáleného volání procedur uvedenými službami. Toto nastavení zároveň povoluje výjimky pro mapovač koncových bodů RPC (TCP 135), SMB přes TCP (TCP 445) a požadavky na odezvu ICMP.

Jak tyto problémy vyřešit?

Další informace získáte v tomto dokumentu později v části Je nutné změnit kód, aby bylo možné používat aktualizaci Windows Server 2003 Service Pack 1.

Obnovení výchozího nastavení

Podrobný popis

Dříve uživatel nemohl resetovat konfiguraci brány firewall pro připojení k Internetu (ICF). Postupem doby mohla být brána konfigurována tak, aby povolovala nevyžádanou datovou komunikaci na porty, které již nepoužívají jiné aplikace. Pro uživatele pak mohlo být obtížné se snadno a rychle vrátit k výchozí konfiguraci.

Tato možnost umožňuje uživateli obnovit původní nastavení Brány firewall systému Windows. Výchozí nastavení Brány firewall systému Windows mohou navíc upravovat výrobci původního vybavení (OEM) a zahrnout do brány vlastní výchozí možnosti konfigurace.

Proč je tato změna důležitá?

Tato možnost umožňuje koncovým uživatelům obnovit původní výchozí nastavení Brány firewall systému Windows.

Co funguje jinak?

Z tohoto přídavku nevyplývají žádné funkční změny v Bráně firewall systému Windows. Použití této funkce však zakáže Sdílení připojení k Internetu a Síťový most.

Podpora bezobslužné instalace

Podrobný popis

V dřívějších verzích systému Windows nebylo možné konfigurovat Bránu firewall pro připojení k Internetu během instalace. To výrobcům OEM a firmám ztěžovalo konfiguraci Brány firewall pro připojení k Internetu před distribucí počítačů koncovým uživatelům. V systému Windows Server 2003 s aktualizací Service Pack 1 můžete nakonfigurovat následující možnosti Brány firewall systému Windows prostřednictvím bezobslužné instalace:

  • provozní režim,
  • aplikace v seznamu výjimek Brány firewall systému Windows,
  • statické porty v seznamu výjimek,
  • možnosti protokolu ICMP,
  • možnosti protokolování.

Proč je tato změna důležitá?

Způsob, jak předem konfigurovat Bránu firewall systému Windows, umožňuje prodejcům systému Windows a velkým podnikům větší flexibilitu a možnosti přizpůsobení Brány firewall systému Windows.

Co funguje jinak?

Díky této funkci bude možné flexibilněji konfigurovat Bránu firewall systému Windows. Z tohoto přídavku nevyplývají žádné funkční změny v Bráně firewall systému Windows.

Syntaxe používaná k povolení nebo zakázání brány firewall pro připojení k Internetu (ICF) v bezobslužném skriptu byla nahrazena novou syntaxí pro bránu firewall systému Windows.

Oddíly souboru Unattend.txt pro konfiguraci brány firewall systému Windows se skládají z následujících částí:

  • [WindowsFirewall]
    Povinný oddíl, který definuje profily, které se mají používat, a nastavení souboru protokolu brány firewall systému Windows.
  • [WindowsFirewall.profile_name]
    Oddíl profilu domény [WindowsFirewall.Domain] obsahuje nastavení pro situaci, kdy je počítač připojen do sítě s řadiči domény, jejímž je počítač členem. Standardní profil [WindowsFirewall.Standard] obsahuje nastavení pro situaci, kdy počítač není připojen do sítě s řadiči domény, jejímž je počítač členem. Pokud nechcete použít bránu firewall systému Windows Firewall, můžete zadat Profiles = WindowsFirewall.TurnOffFirewall
    Oddíl [WindowsFirewall.profile_name] je uživatelem definovaný oddíl, na který odkazuje oddíl [WindowsFirewall] při provádění změn výchozí konfigurace brány firewall systému Windows, včetně programů, služeb, portů a nastavení protokolu ICMP.
  • [WindowsFirewall.program_name]
    Uživatelem definovaný oddíl pro přidání programu do seznamu výjimek brány firewall systému Windows.
  • [WindowsFirewall.service_name]
    Uživatelem definovaný oddíl pro přidání předdefinované služby do seznamu výjimek brány firewall systému Windows (například sdílení souborů a tiskáren, architektura UPnP, služba vzdálené plochy a vzdálená správa).
  • [WindowsFirewall.portopening_name]
    Uživatelem definovaný oddíl pro přidání portu do seznamu výjimek brány firewall systému Windows.
  • [WindowsFirewall.icmpsetting_name]
    Uživatelem definovaný oddíl pro přidání typů zpráv protokolu ICMP do seznamu výjimek brány firewall systému Windows.

Jaké stávající funkce se změnily v aktualizaci Service Pack 1 systému Windows Server 2003?

Rozšířená podpora vícesměrového a všesměrového vysílání

Podrobný popis

Vícesměrová a všesměrová síťová komunikace se liší od jednosměrové komunikace, protože odpověď přichází z neznámého hostitele. Stavové filtrování potom zabraňuje přijetí takové odpovědi. To znemožní fungování celé řady postupů, od datových mediálních proudů po zjišťování.

Aby byly tyto postupy funkční, povolí brána firewall systému Windows na tři sekundy odpověď jednosměrového vysílání z jakékoli přímo dosažitelné zdrojové adresy na stejném portu, z něhož pochází daná vícesměrová nebo všesměrová komunikace.

Proč je tato změna důležitá? Jaká nebezpečí pomáhá zmírňovat?

Tato skutečnost umožní aplikacím a službám, které používají vícesměrovou a všesměrovou komunikaci, aby fungovaly, aniž by uživatel nebo aplikace či služba potřebovaly změnit zásady brány firewall. To je důležité například pro protokoly NETBIOS přes protokol TCP/IP, aby nebyly v síti vystaveny citlivé porty, jako je port 135.

Co funguje jinak? Existují nějaké závislosti?

V systému Windows Server 2003 Brána firewall pro připojení k Internetu stavově filtrovala vícesměrovou a všesměrovou komunikaci, což vyžadovalo, aby uživatel otevřel port pro příjem odpovědi ručně. V systému Windows Server 2003 Service Pack 1 přijímá brána firewall systému Windows odpověď na vícesměrovou a všesměrovou komunikaci bez další konfigurace.

Aktualizované uživatelské rozhraní

Podrobný popis

Uživatelské rozhraní brány firewall je v aktualizaci Windows Server 2003 Service Pack 1 aktualizováno, aby obsahovalo nové možnosti konfigurace a integraci brány firewall pro připojení k Internetu přes protokol IPv6. Nové rozhraní brány firewall systému Windows uživateli umožňuje měnit provozní stavy, globální konfiguraci, možnosti protokolování a možnosti protokolu ICMP.

Primární vstup do uživatelského rozhraní byl přemístěn z dialogového okna Vlastnosti připojení do ikony v Ovládacích panelech. Odkaz ze starého umístění je stále k dispozici. Aktualizace Windows Server 2003 Service Pack 1 navíc vytvoří propojení ze složky Síťová připojení.

Proč je tato změna důležitá?

Funkce přidané v aktualizaci Windows Server 2003 Service Pack 1 vyžadovaly aktualizace uživatelského rozhraní.

Co funguje jinak?

Uživatelské rozhraní je přemístěno z karty Upřesnit dialogového okna Vlastnosti síťového připojení do specifické ikony Brány firewall systému Windows v Ovládacích panelech.

Nová podpora zásad skupiny

Podrobný popis

V dřívějších verzích systému Windows obsahovala Brána firewall pro připojení k Internetu jeden objekt zásad skupiny (GPO): Zakázat používání brány firewall pro připojení k Internetu v síťové doméně DNS. V systému Windows Server 2003 Service Pack 1 lze každou globální možnost konfigurace nastavit prostřednictvím zásad skupiny. Mezi příklady nových možností konfigurace patří:

  • nastavení výjimek programů,
  • povolení výjimek místních programů,
  • povolení výjimek protokolu ICMP,
  • zákaz upozorňování,
  • povolení výjimky pro sdílení souborů a tiskáren,
  • povolení protokolování.

Každý z těchto objektů lze nastavit pro podnikový i standardní profil. Další informace o možnostech zásad skupiny najdete v článku Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 (Nasazeni nastavení brány firewall systému Windows v systému Microsoft Windows XP s aktualizací Service Pack 2) na webu služby Stažení softwaru na adrese http://go.microsoft.com/fwlink/?linkid=23277. Tento dokument také obsahuje informace o vylepšených funkcích aktualizace Windows Server 2003 Service Pack 1.

Proč je tato změna důležitá?

Pro správce je důležité řídit nastavení zásad brány firewall systému Windows centrálně tak, aby aplikace a postupy v podnikovém prostředí fungovaly.

Co funguje jinak?

Správce IT nyní může rozhodnout o výchozí sadě zásad Brány firewall systému Windows. Může tak aplikace a postupy povolit nebo zakázat. Výsledkem je lepší řízení, ale zásady nemění základní funkce Brány firewall systému Windows.

Jaké nastavení bylo přidáno nebo se změnilo v aktualizaci Windows Server 2003 Service Pack 1?

 

Název nastavení Umístění Předchozí výchozí hodnota Výchozí hodnota Možné hodnoty

Chránit všechna síťová připojení

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno

Zakázáno

Nepovolit výjimky

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno

Zakázáno

Nastavit výjimky programů

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno [Cesta k programu] [Rozsah]

Zakázáno

Povolit výjimky místních programů

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno

Zakázáno

Povolit výjimky pro vzdálenou správu

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno

Zakázáno

Povolit výjimku pro sdílení souborů a tiskáren

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno

Zakázáno

Povolit výjimky protokolu ICMP

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno

Jakmile tuto možnost povolíte, vyberte, které následující typy zpráv chcete povolit:

[Povolit zprávu Nedosažitelný odchozí cíl]

[Povolit zpomalení odchozích dat zdroje]

[Povolit přesměrování]

[Povolit příchozí ozvěny]

[Povolit zprávu Vypršel odchozí časový limit]

[Povolit zprávu Chyba odchozího parametru]

[Povolit časová razítka příchozích požadavků]

[Povolit příchozí dotazy na masku]

[Povolit zprávu Příliš veliký paket]

Zakázáno

Povolit výjimku pro vzdálenou pracovní plochu

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno

Zakázáno

Povolit výjimku pro architekturu UPnP

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno

Zakázáno

Zakázat upozorňování

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno

Zakázáno

Povolit protokolování

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno

Zakázáno

Zakázat odpovědi jednosměrového vysílání na požadavky vícesměrového a všesměrového vysílání

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno

Zakázáno

Nastavit výjimky portů

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno

Zakázáno

Povolit místní výjimky portů

(Objekt zásad skupiny) Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows

Není

Nenakonfigurováno

Povoleno

Zakázáno

Je nutné změnit kód, aby bylo možné používat aktualizaci Windows Server 2003 Service Pack 1?

Bránu firewall systému Windows doporučujeme nakonfigurovat pro použití s aktualizací Windows Server 2003 Service Pack 1 pomocí Průvodce konfigurací zabezpečení. Tento průvodce je navržen tak, aby splnil požadavky různých rolí a zatížení serveru a nakonfiguroval nastavení brány firewall správně. Jestliže se chystáte nakonfigurovat nastavení brány firewall ručně, projděte si následující informace, abyste věděli, jaký to může mít vliv na aplikace.

Odchozí připojení

Popis

Typický uživatelský nebo pracovní počítač je klientem v síti. Software v počítači se připojí k serveru (odchozí připojení) a získává ze serveru zpětné reakce (odpovědi). Brána firewall systému Windows povoluje všechna odchozí připojení, ale používá pravidla na typy komunikace, která je povolena zpět do počítače.

Následuje několik příkladů činností, na nichž se podílí aplikace společnosti Microsoft fungující uvedeným způsobem:

  • Procházení webu pomocí aplikace Microsoft Internet Explorer.
  • Kontrola e-mailů pomocí aplikace Outlook Express.
  • Konverzace s použitím služby MSN Messenger nebo programu Windows Messenger.

Požadovaná akce

Žádná. Brána firewall systému Windows automaticky povolí všechna odchozí připojení, bez ohledu na aplikaci a uživatelský kontext.

notePoznámka
Jakmile počítač spustí požadavek na relaci protokolu TCP do cílového počítače, bude přijímat odpovědi pouze z tohoto cílového počítače. Jakmile počítač odešle pakety UDP, povolí brána firewall systému Windows odpovědi UDP do portu, z něhož byly pakety UDP odeslány, z libovolné adresy IP přibližně na 90 sekund. Odpovědi jednosměrového vysílání na vícesměrovou a všesměrovou komunikaci jsou prostřednictvím brány firewall systému Windows povoleny na tři sekundy, pokud jsou tyto odpovědi směrovány na původní port komunikace a pocházejí z adres IP ve stejné podsíti jako daný počítač. Toto chování řídí nastavení v bráně firewall, které je ve výchozím stavu povoleno.

Nevyžádaná příchozí připojení pro aplikace

Popis

Tento postup zahrnuje aplikaci, která dokončí operaci naslouchání na soketu TCP nebo se úspěšně naváže na specifický soket UDP prostřednictvím rozhraní Winsock. Pro tento postup může Brána firewall systému Windows automaticky otevřít a zavřít porty podle potřeb aplikace.

Následuje několik příkladů činností, na nichž se podílí aplikace společnosti Microsoft fungující uvedeným způsobem:

  • Použití zvuku a obrazu u služby MSN Messenger nebo programu Windows Messenger.
  • Přenos souborů s použitím služby MSN Messenger nebo programu Windows Messenger.
  • Hostitelské služby pro hry pro více hráčů.

Požadovaná akce

Pokud vyvíjíte aplikaci vyžadující naslouchání na portu (či portech), požaduje společnost Microsoft aktualizaci příslušného kódu tak, aby se uživatelům zobrazil dotaz, zda chtějí dané aplikaci otevření portů v bráně firewall povolit:

  • Jestliže uživatel souhlasí, může aplikace pomocí rozhraní API INetFwAuthorizedApplication přidat sama sebe do kolekce AuthorizedApplications (Oprávněné aplikace) s nastavením Povoleno.
  • Jestliže uživatel nesouhlasí, může aplikace pomocí rozhraní API INetFwAuthorizedApplication přidat sama sebe do kolekce AuthorizedApplications s nastavením Zakázáno.

Při přidávání aplikace do kolekce AuthorizedApplications pomocí rozhraní API INetFwAuthorizedApplication jsou vyžadovány tyto hodnoty:

  • Název souboru bitové kopie. Jde o soubor, který volá rozhraní Winsock, aby mohl naslouchat komunikaci v síti. Cesta musí být úplná, ale může obsahovat proměnné prostředí.
  • Popisný název. Jde o popis aplikace, který bude zobrazen uživatelům v uživatelském rozhraní Brány firewall systému Windows.

Další informace o rozhraní API INetFwAuthorizedApplication získáte v tématu INetFwAuthorizedApplication sady Microsoft Platform Software Development Kit (SDK) na webu MSDN na adrese http://go.microsoft.com/fwlink/?LinkId=32000.

Brána firewall systému Windows sleduje rozhraní Winsock, aby měla přehled, kdy aplikace začínají a ukončují naslouchání na portech. Na základě toho jsou porty automaticky otevírány a zavírány pro aplikace, jakmile jsou povoleny v seznamu výjimek Brány firewall systému Windows. To znamená, že ze strany aplikací rozhraní Winsock není k vlastnímu otevření a zavření portů v bráně firewall nutná žádná akce.

notePoznámka
Aplikace musí být spuštěna v kontextu uživatele s právy správce, aby se mohla přidat do seznamu výjimek Brány firewall systému Windows. Porty jsou v bráně firewall pro povolené aplikace rozhraní Winsock automaticky otevírány a zavírány, bez ohledu na uživatelský kontext, v němž jsou aplikace spuštěny. Aplikace by měly získat souhlas uživatele před svým přidáním do kolekce INetFwAuthorizedApplications. Aplikaci Svchost.exe nelze do kolekce INetFwAuthorizedApplications přidat.

Příchozí připojení pro služby, které používají pevné porty.

Popis

Vývojáři by měli rozhraní API INetFWAuthorizedApplication používat pro ostatní postupy, použití globálních rozhraní API pro porty v Bráně firewall systému Windows však doporučujeme pro služby, které naslouchají na pevných portech. Tyto porty jsou vždy otevřeny, proto nemá téměř žádný smysl je otevírat dynamicky. Místo toho mohou uživatelé přizpůsobit nastavení brány firewall pro tyto pevné porty, pokud použijí globální rozhraní API pro porty.

Následují některé příklady služeb, které vyžadují příchozí připojení:

  • sdílení souborů a tiskáren,
  • architektura UPnP,
  • vzdálená plocha,

požadovaná akce.

Pokud služba potřebuje naslouchat na pevném portu, měla by se zeptat uživatele, zda by měla povolit službě otevřít porty v bráně firewall. V ideálním případě by mělo k tomuto kroku dojít při instalaci služby.

Jestliže uživatel souhlasí, měla by služba pomocí rozhraní API INetFwOpenPort přidat u brány firewall systému Windows pravidla pro službou vyžadovaný port (nebo porty). Tato pravidla by měla být povolena.

Jestliže uživatel nesouhlasí, měla by služba i přesto pomocí rozhraní API INetFwOpenPort přidat u brány firewall systému Windows pravidla pro službou vyžadovaný pevný port nebo porty. Tato pravidla by však neměla být povolena.

Při přidávání otevření portu do Brány firewall systému Windows pomocí rozhraní API INetFwOpenPort jsou vyžadovány tyto hodnoty:

  • Protokol. Určuje síťový protokol (TCP nebo UDP), který služba používá.
  • Port. Jde o číslo portu, který má být otevřen.
  • Popisný název. Jde o popis otevření portu, který bude zobrazen uživatelům v uživatelském rozhraní Brány firewall systému Windows.

Další informace o rozhraní API INetFwOpenPort získáte v tématu InetFwOpenPort sady Platform Software Development Kit na webu MSDN na adrese http://go.microsoft.com/fwlink/?LinkId=35316.

Jakmile je služba zakázána, měla by vždy, když je to možné, pomocí rozhraní API INetFwOpenPort zavřít statické porty, které otevřela. To lze provést snadno, pokud je služba jediná, která porty používá. Jestliže však služba případně sdílí porty s jinými službami, neměla by porty zavírat, pokud nemůže ověřit, že žádná z ostatních služeb porty nepoužívá.

Aplikace musí být spuštěna v kontextu uživatele s právy správce, aby mohla staticky otvírat porty v Bráně firewall systému Windows.

notePoznámka
Při statickém otvírání portů prostřednictvím rozhraní API INetFw by služba měla vždy, když je to možné, sama sebe omezit na komunikaci z místní podsítě. Služby by měly před statickým otevřením portů v bráně firewall systému Windows získat souhlas uživatele. Služba by nikdy neměla automaticky otevírat porty, aniž by nejdříve varovala uživatele.

Příchozí připojení na portech vzdáleného volání procedury (RPC) a modelu DCOM pro systémové služby

Popis

Některé systémové služby vyžadují pro příchozí připojení použití portů vzdáleného volání procedury, prostřednictvím modelu DCOM či přímo vzdáleným voláním procedury. Z důvodu značných dopadů na zabezpečení při otvírání portů vzdáleného volání procedury jsou takové porty zpracovávány zvlášť a vývojáři by se měli snažit povolit vzdálené volání procedury pro systémové služby pouze prostřednictvím Brány firewall systému Windows a to jen v naprosto nejnaléhavějších případech.

Požadovaná akce

Bránu firewall systému Windows lze nakonfigurovat na povolení automatického otvírání a zavírání portů vzdáleného volání procedury a modelu DCOM pro systémové služby. Ve výchozím nastavení je však vzdálené volání procedury Bránou firewall systému Windows blokováno. To znamená, že aplikace, které používají porty vzdáleného volání procedury k přenosu dat do systémových služeb, budou potřebovat Bránu firewall systému Windows příslušně nakonfigurovat. Aplikace vyžadující povolení této funkce by měla uživateli zobrazit dotaz, zda službám může povolit otevření portů v bráně firewall. Ideální doba na provedení této akce je při instalaci.

Jestliže uživatel souhlasí s povolením otevření portů vzdáleného volání procedury, měla by služba pomocí rozhraní API INetFwRemoteAdminSettings otevřít porty, které služba potřebuje.

Jestliže uživatel nesouhlasí s povolením otevření portů vzdáleného volání procedury, neměla by aplikace či služba konfigurovat Bránu firewall systému Windows na povolení portů vzdáleného volání procedury.

Další informace o rozhraní API INetFwRemoteAdminSettings získáte v tématu INetFwAuthorizedApplication na webu MSDN na adrese http://go.microsoft.com/fwlink/?linkid=32000 a po klepnutí na téma RemoteAddresses Property of InetFwAuthorizedApplication (Vlastnost RemoteAddresses parametru InetFwAuthorizedApplication) v obsahu.

notePoznámka
Aby bylo možné povolit nebo zakázat automatické otvírání portů vzdáleného volání procedury v Bráně firewall systému Windows, musí být aplikace nebo služba spuštěna v kontextu uživatele s právy správce. Aplikace nebo služba by se měla snažit povolovat porty vzdáleného volání procedury prostřednictvím Brány firewall systému Windows jen v naprosto nejnaléhavějších případech. Jsou-li již porty vzdáleného volání procedury povoleny, nemusí aplikace nebo služba podnikat žádné kroky za účelem správného fungování. Již otevřené porty lze zjistit pomocí rozhraní API IsPortAllowed. Nastavení portů vzdáleného volání procedury funguje pouze pro servery vzdáleného volání procedury v kontextu místního systému, síťové služby nebo místní služby. Porty otevřené servery vzdáleného volání procedury spuštěnými v jiných uživatelských kontextech nebudou tímto nastavením povoleny. Takové servery by měly použít seznam výjimek Brány firewall systému Windows.
Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Zobrazit:
© 2014 Microsoft