Читаем Хитрости Windows 7. Для профессионалов - 2011 полностью

Параметры в данном профиле автоматически вводятся в действие, когда вы выбираете расположение сети Домашняя (Ноте) или Предприятие (Work) по запросу Windows выбрать.

Это типичная сеть для дома или небольшого учреждения, защищенная маршрутизатором и предоставляющая совместный доступ к папкам и принтерам (как описано в главе 7).

О Общедоступный профиль

Этот профиль используется, когда вы выбираете Общественная сеть (Public location), например, при подключении беспроводным способом к общественной точке доступа.

О Доменный профиль

Данный профиль брандмауэра применяется в случае, если компьютер является частью корпоративной сети с контроллером доменов.

По умолчанию выбор параметров в каждом из этих профилей более или менее одинаков, но входящие и исходящие правила обычно разные. Для изменения параметров, показанных на рис. 6.31, нажмите ссылку Свойства брандмауэра (Windows Firewall Properties) и выберите вкладку, соответствующую профилю, для которого вы хотите изменить конфигурацию, как показано на рис. 6.33.

Теперь вы можете внести довольно существенные изменения. В списке Исходящие подключения (Outbound connections) выберите Блокировать (Block), таким образом вы предоставите брандмауэру Windows контроль над данными, движущимися в обоих направлениях (а не только над входящими данными). Данный вариант не обязательно будет беспроблемно работать до тех пор, пока вы не потратите время на создание исходящих правил в главном окне. Но такой вариант может, например, позволить ограничить вспышку вируса на вашем компьютере без необходимости полного разъединения сетевого подключения, которое может понадобиться для борьбы с ним.

Нажмите кнопку Настроить (Customize) в разделе Ведение журнала (Logging) для того, чтобы брандмауэр Windows вел запись блокируемых данных в выбранном вами текстовом файле. Ведение записи позволит точно увидеть, что делает брандмауэр, и, что еще важнее, предоставит возможность поиска и исправления неисправностей. Например, если вы знаете, что брандмауэр Windows мешает конкретной программе, и хотите решить, давать ли ей разрешение, необходимо узнать, что эта программа пытается делать. Об использовании маршрутизатора для

ведения протокола читайте в разделе «Сканирование системы для обнаружения открытых портов» далее.

Альтернативы брандмауэру Windows

Брандмауэр в составе Windows 7 лучше, чем его предшественники, но, может быть, и он не обеспечит нужной гибкости и легкости, как при использовании сторонней программы.

Вот несколько других вариантов:

О Agnitum Outpost (http://www.agnitum.com);

О Kerio Personal Firewall (http://www.kerio.com);

О 7 Firewall Control (http://www.sphinx-soft.com).

Однако при установке и настройке конфигурации стороннего брандмауэра, в том числе и перечисленных здесь, будьте осторожны. Чересчур строгие его правила могут прервать работу некоторых программ в вашей системе. Еще хуже, чересчур мягкие правила могут не защитить компьютер в достаточной мере, но при этом вызовут у вас ложное чувство безопасности. Один из способов проверить вашу межсетевую защиту - тест на утечку данных PC Flank Leaktest на веб-странице http://www.pcflank.com/.

Неважно, какое из решений межсетевой защиты вы выберете, однако, вероятнее всего, вам понадобится потратить время на настройку пользовательской конфигурации правил, используя порядок, похожий на тот, что описан выше в данном разделе.

Сканирование системы для обнаружения открытых портов

Каждый открытый сетевой порт на компьютере представляет собой потенциальную уязвимость системы безопасности, а так как у Windows наблюдается тенденция оставлять больше открытых портов, чем нужно, то любые порты должны вызывать беспокойство — они могут остаться открытыми в результате действий приложений или вредоносных программ. К счастью, имеется способ сканирования компьютера для обнаружения открытых портов, позволяющий узнать, какие дыры латать.

Откройте окно Командной строки (cmd.exe) и запустите утилиту Активные подключения (Active Connections):

netstat /а /о

Параметр /а просит netstat показать все приложения, пытающиеся принять входящие подключения. Иначе вы увидели бы только порты, участвующие в действующих подключениях. Параметр /о показывает «владельца» (PID процесса) каждого порта (описано ниже). Отчет будет выглядеть примерно следующим образом:

Активные подключения

Имя Локальный адрес Внешний адрес Состояние PID

TCP annoy:рорВ localhost:4219 TIME_WAIT 0

TCP annoy:3613 javascript-of-unknown:0 LISTENING 1100

TCP annoy:3613 localhost:3614 ESTABLISHED 1100

TCP annoy:3614 localhost:3613 ESTABLISHED 1100

UDP annoy:1035 *:* 1588

UDP annoy:1036 *:* 1588

UDP annoy:1037 *:* 1588

UDP annoy:1038 *:* 1588

UDP annoy:1039 *:* 1588