Windows Firewall: Nyttige avancerede regler og hvordan man mestrer dem

  • Windows Firewall filtrerer indgående og udgående trafik baseret på netværksprofiler, programregler, porte og IP-adresser.
  • Avancerede regler følger en klar prioritet: eksplicitte blokke og mere specifikke regler har forrang frem for generelle tilladelser.
  • Centraliseret administration via politikker, AppID-tags og PowerShell muliggør automatisering og styrkelse af sikkerheden uden at miste kontrollen.
  • Bevarelse af standardindstillingerne, gennemgang af undtagelser og kombination af firewallen med andre sikkerhedsforanstaltninger styrker beskyttelsen betydeligt.
Joaquin Romero

17 minutter

Windows Firewall

Når vi taler om Windows Firewall og dens avancerede reglerVi refererer faktisk til et af de vigtigste forsvarslag, der følger med operativsystemet som standard. Mange ser dog kun pop op-advarsler eller den klassiske besked "Windows har blokeret nogle funktioner i dette program" og ikke meget andet. At forstå, hvordan det fungerer internt, hvordan regler prioriteres, og hvad vi kan gøre med de avancerede indstillinger, gør forskellen mellem et simpelt "det virker eller det virker ikke" og en ægte sikkerhedsforanstaltning. bevidst og sikker styring af netværkstrafik.

Ud over den typiske tænd/sluk-knap kan Windows-firewallen også fungere med netværksprofiler, indgående og udgående regler, porte, IP-adresser, specifikke programmer og applikationstagsAlt dette kan styres fra den grafiske brugerflade, PowerShell eller centraliserede politikker, hvilket gør det til et perfekt værktøj til både en hjemmecomputer og et virksomhedsnetværk med hundredvis af computere.

Hvad er Windows Firewall, og hvad beskytter den præcist?

Den indbyggede firewall i Windows fungerer som en filtrer mellem din enhed og ethvert netværk som den opretter forbindelse til, uanset om det er internettet eller et internt LAN. Den overvåger alle indgående og udgående pakker og beslutter, baseret på regler, om de skal tillades eller blokeres. Den analyserer kilden, destinationen, protokollen, porten og den involverede proces for at træffe en beslutning.

Dens grundlæggende adfærd er baseret på en Standardblokeringspolitik for indgående forbindelserDet betyder, at kun trafik, der matcher en eksplicit tilladelsesregel, accepteres. For udgående trafik er alt i de fleste scenarier tilladt som standard, medmindre andet er konfigureret, hvilket i høj grad forenkler tingene for den gennemsnitlige bruger.

En kæmpe fordel er, at firewallen kommer aktiveret som standard og fuldt integreret i operativsystemetDen opdateres via Windows Update og kræver ikke installation af tredjepartssoftware for at dække grundlæggende netværkssikkerhedsbehov. Desuden overvåger den ikke kun trafik "udefra", men styrer også Hvordan kommunikerer installerede applikationer med omverdenen?hjælp til at opdage mistænkelig adfærd.

Netværksprofiler: domæne, privat og offentlig

For at tilpasse beskyttelsen til konteksten arbejder Windows med Tre typer netværksprofiler: domæne, privat og offentligAfhængigt af den aktive profil gælder der forskellige regler og begrænsninger.

Offentlige netværk (Wi-Fi i lufthavne, caféer, hoteller osv.) betragtes som det mindst pålidelige miljø, så firewallen anvender mere restriktive politikker for indgående forbindelserDette gør det sværere for andre enheder på det samme netværk at se din enhed eller forsøge at oprette forbindelse til den uden tilladelse.

Migrer til en ny SSD uden at geninstallere Windows
relateret artikel:
Avanceret netværksdiagnostik i Windows: en komplet praktisk guide

Private netværk bruges til betroede miljøer såsom et hjemmenetværk eller et lille kontorHer er lidt mere "socialt liv" tilladt på netværket: del printere, filer eller enheder er enklere, selvom sikkerhedsniveauet forbliver højt. Endelig er domæneprofilen designet til virksomheder, der administrerer deres udstyr via Active Directory og centraliserede politikkersåledes at regler og undtagelser styres fra IT ved hjælp af GPO- eller MDM-løsninger.

Sådan får du vist, aktiveret og deaktiveret Windows Firewall

Den mest direkte måde at kontrollere firewallens aktuelle status på er at bruge applikationen Windows-sikkerhedFra Start-menuen kan du åbne den og gå til afsnittet "Firewall og netværksbeskyttelse". Der kan du se den aktive profil (domæne, privat eller offentlig), og om Microsoft Defender Firewall er aktiveret eller deaktiveret.

Fra hver profil kan du Aktiver eller deaktiver beskyttelsen med en simpel kontaktDu finder også muligheden "Bloker alle indgående forbindelser, inklusive dem fra listen over tilladte programmer". Hvis du markerer dette felt, ignorerer firewallen selv undtagelser og blokerer al indgående trafik, hvilket resulterer i fejlfunktioner i mange programmer. Dette er en nyttig foranstaltning i højrisikomiljøer eller til lejlighedsvis testning.

En anden mulighed for brugere, der er mere vant til den klassiske brugerflade, er Kontrolpanel, i afsnittet System og sikkerhed → Windows FirewallDer kan du se status efter netværkstype og aktivere eller deaktivere firewallen for private og offentlige netværk separat, samt få adgang til avancerede indstillinger.

For administratorer og avancerede brugere kan firewallen også administrere fra kommandolinjen eller PowerShellDette muliggør automatiserede implementeringer, ensartede konfigurationer på tværs af flere teams og dokumentation af alle ændringer i scripts, der f.eks. er integreret i DevOps-pipelines.

Private og offentlige netværk: Hvad ændrer sig med hensyn til sikkerhed?

Når du opretter forbindelse til et netværk, spørger Windows normalt, om du vil behandle det som et netværk. privat netværk eller offentligt netværkDenne beslutning er ikke æstetisk: den bestemmer, hvilke regler der gælder, og hvor meget eksponering din enhed har sammenlignet med andre enheder.

Som en generel regel vælges et privat netværk, når Du kender og har tillid til de tilsluttede enhedersåsom dit hjem eller et lille kontor. I den sammenhæng er det normalt praktisk for andre teams at se dit for at dele ressourcer. I modsætning hertil er et offentligt netværk ethvert eksternt netværk, hvor Du kontrollerer ikke, hvem der ellers er forbundet.Det er vigtigt, at dit hold går så ubemærket hen som muligt.

En grundlæggende god praksis er Deaktiver ikke firewallen, når du opretter forbindelse til offentlige netværkTværtimod er det her, det giver mest mening at holde konfigurationen så streng som muligt og undgå at åbne unødvendige porte eller tillade unødvendige tjenester.

Yderligere muligheder i Windows Sikkerhed

Windows Firewall

Under "Firewall- og netværksbeskyttelse" finder du flere muligheder, der udvider dine muligheder ud over blot at tænde eller slukke for den:

  • Tillad en applikation gennem firewallenDet er her, du administrerer den berømte liste over "tilladte programmer". Hvis firewallen blokerer et program, du har brug for, kan du tilføje en undtagelse og specificere, om det kan kommunikere over private netværk, offentlige netværk eller begge dele, eller du kan åbne en bestemt port. Husk risikoen ved at åbne for mange porte.
  • Firewall-notifikationerDu kan bestemme, om du vil have flere eller færre notifikationer, når noget er blokeret. Reducering af notifikationer undgår irritationer, men det kan også medføre, at du går glip af vigtige blokke.
  • Avancerede indstillingerDette åbner den klassiske konsol "Windows Defender Firewall med avanceret sikkerhed", hvor du opretter og administrerer indgående og udgående regler, sikkerhedsregler for forbindelser og overvågningslogfiler. Det er det vigtigste værktøj til at arbejde med avancerede regler.
  • Gendan firewalls til standardværdierDenne indstilling er nyttig, når systemet begynder at opføre sig uregelmæssigt på grund af akkumulerede ændringer. Den gendanner konfigurationen til dens oprindelige tilstand, selvom eventuelle organisationspolitikker genanvendes.

Ind- og udgangsregler: hvordan de fungerer, og hvordan de prioriteres

Kernen i firewallen er baseret på to store sæt regler: indgående og udgående reglerHver enkelt definerer, hvilken trafik der er tilladt eller blokeret under bestemte betingelser.

Indgående regler styrer den trafik, der når din computer fra netværket. Som standard anvendes følgende funktion: blokering af det, der ikke er eksplicit tilladtUdgående regler gør det modsatte: de styrer, hvilke forbindelser der er tilladt fra din computer til omverdenen. I de fleste hjemmeopsætninger holdes de generelt åbne, og kun meget specifikke ting blokeres.

Når man diskuterer avancerede regler, er det vigtigt at forstå prioritet eller præcedens mellem regler når flere kunne gælde for den samme trafik. Windows Firewall følger disse principper:

  1. En "eksplicit" tilladelsesregel har forrang frem for den generiske standardblokering.
  2. Hvis der er en konflikt mellem reglerne, en af ​​dem En eksplicit blokeringsregel vinder mod en tilladelsesregelMed andre ord, "nej" vejer tungere end "ja", når begge parter konkurrerer.
  3. Mere specifikke regler har forrang frem for mere generiske regler, medmindre den generiske regel er en eksplicit blokeringsregel, der træder i kraft i henhold til det foregående punkt. For eksempel har en regel, der er rettet mod en enkelt IP-adresse, forrang frem for en regel, der dækker et helt IP-interval.

Det betyder, at du, når du udformer din politik, skal undgå utilsigtede overlapninger mellem regler der muligvis blokerer trafik, du havde til hensigt at tillade. De udgående regler følger præcis den samme prioritetsadfærd.

Ansøgningsregler og liste over "tilladte anvendelser"

Når du installerer et program, der kræver netværksadgang, starter det normalt en lytteanmodning på en specifik port eller protokolDa firewallen har en standardblokerende handling på indgående forbindelser, er der behov for en undtagelse for at trafik kan nå det pågældende program.

I mange tilfælde skaber installatøren selv det firewall-regel automatiskHvis du ikke gør det, viser Windows en advarsel, der beder om tilladelse ved første forsøg på at oprette forbindelse, og ellers skal du oprette reglen manuelt fra den avancerede konsol eller fra afsnittet "Tillad et program gennem firewallen".

Afsnittet "tilladte programmer" viser en liste over programmer, der kan kommunikere i henhold til afkrydsningsfelterne for private og offentlige netværkHvis du opretter en avanceret blokeringsregel for et bestemt program, vil den regel kan tilsidesætte det faktum, at applikationen er markeret som tilladtEn mere specifik eksplicit blokeringsregel vil have forrang frem for den generelle listekonfiguration, så i praksis er det blokeringen, der har forrang.

En mindre intuitiv detalje er, at hvis der er oprettet fejlagtige eller forældede regler, kan det være tilrådeligt Fjern dem, så systemet beder om tilladelse igen. og korrekte regler genereres igen. Ellers vil trafikken forblive blokeret, selvom applikationen vises som "tilladt".

App-kontroltags (PolicyAppId) i firewallregler

I virksomhedsmiljøer understøtter Windows firewallen Integration med App Control ved hjælp af AppID-tagsI stedet for at stole på eksekverbare stier (som kan ændres eller manipuleres), bruges procesassocierede etiketter til at definere, hvilke applikationer hver regel gælder for.

Processen har to trin. Først en App Control-direktiv for virksomheder Dette involverer at tagge de ønskede applikationer med PolicyAppId-identifikatorer i procestokens. Firewallregler konfigureres derefter, der refererer til disse tags.

Dette kan gøres på to hovedmåder:

  • Med en MDM såsom Microsoft IntuneBrug af firewall-CSP'en (PolicyAppId-noden) ved oprettelse af en politik for "Windows Firewall-regler". AppId-tagget angives derefter i det tilsvarende felt.
  • skabe lokale regler med PowerShell ved hjælp af cmdlet'en New-NetFirewallRule og parameteren -PolicyAppId, hvor etiketten er angivet. Det er muligt at arbejde med flere bruger-id'er i disse regler.

Denne tilgang forbedrer sikkerhed og styring, fordi Det undgår at være afhængig af absolutte stier og gør det nemmere at gruppere applikationer. under samme etiket, der opretholder ensartede og let opdaterede regler.

Kombination af lokale og applikationsdirektiver

Windows firewall giver dig mulighed for at kontrollere hvordan regler fra forskellige kilder kombineresLokale politikker, MDM-direktiver eller domæne-GPO'er. Indstillingen "AllowLocalPolicyMerge" bestemmer, om regler, der er oprettet lokalt af teamadministratorer, flettes sammen med dem, der modtages fra centrale politikker.

Denne adfærd kan justeres efter profil (domæne, privat og offentlig) via Firewall CSP eller GPO-konsollen "Windows Defender Firewall med avanceret sikkerhed"I miljøer med høj sikkerhed er lokale politikkombinationer ofte deaktiveret for at have strengere kontrol og for eksempel forhindre, at et program opretter uovervågede firewallundtagelser.

Deaktivering af den lokale kombination kan dog afbryde driften af ​​applikationer, der er afhængige af regler, der genereres automatisk efter installationenDerfor er det afgørende at opretholde en oversigt over programmer og tjenester, der har brug for åbne porte, og endda at udføre netværkstrafikanalyse med pakkeopsamlingsværktøjer, når topologien er kompleks.

Anbefalinger til design af gode firewallregler

Der er en række retningslinjer, du skal følge, når du definerer din regelpolitik, uanset om det gælder en enkelt pc eller en hel organisation:

  • Behold standardindstillingerne, når det er muligtDen grundlæggende funktion med at blokere indgående forbindelser er designet til at dække de fleste scenarier sikkert.
  • Opret regler i alle tre profiler, men aktiver dem kun, hvor det er relevant.For eksempel kan en delingsapplikation, der kun giver mening på et privat netværk, have regler defineret for alle tre profiler, men kun aktiveret på den private.
  • Tilpas begrænsninger for fjernadresser i henhold til profilenI hjemmenetværk eller netværk for små virksomheder er det normalt en god idé at begrænse forbindelser til det lokale undernet, mens denne begrænsning muligvis ikke er passende i en domæneprofil. For tjenester, der kræver global internetadgang, bør der ikke tilføjes grænser for eksterne IP-adresser.
  • Vær så specifik som muligt i adgangsreglerneMen når du har brug for flere porte eller IP-adresser, bør du overveje at bruge områder eller undernet i stedet for individuelle adresser. Dette reducerer antallet af interne filtre, forenkler konfigurationen og forbedrer ydeevnen.
  • Dokumentér hver regel med nøgledetaljerDenne dokumentation inkluderer den applikation, den påvirker, de anvendte porte, dens formål og oprettelsesdatoen. Den er uvurderlig ved senere fejlfinding eller fejlfinding af problemer.
  • Begræns undtagelser til tjenester og applikationer med et legitimt formål.At give tilladelser "bare i tilfælde af" øger angrebsfladen uden at tilføje værdi.

Kendte problemer med automatisk oprettelse af regler

Når regler for netværksapplikationer ikke er forudkonfigurerede, og systemet overlades til at håndtere tingene "on the fly", kan der opstå nogle ret komplicerede situationer. Til at begynde med, Automatisk oprettelse af regler under kørsel kræver typisk administratorrettigheder og brugerinteraktion..

Nogle typiske eksempler er:

  1. En bruger med tilstrækkelige rettigheder modtager en besked om, at et program ønsker at ændre firewallpolitikken. Han forstår ikke beskeden og lukker eller annullerer den.Resultat: Blokeringsregler oprettes.
  2. Indgående notifikationer er deaktiveret. Brugeren ser ingen notifikationer, der oprettes ingen tilladelsesregler, og trafikken blokeres af standardblokeringsreglen.
  3. En bruger uden administratorrettigheder modtager beskeden om at tillade ændringer. Uanset hvad jeg gør, kan jeg ikke oprette tilladelsesreglen og systemet ender med at generere blokeringsregler.
  4. En bruger uden rettigheder og aktiverede notifikationer får ikke engang besked. Der oprettes ingen tilladelsesregler, og alt er blokeret.
  5. Kombinationen af ​​lokale politikker er deaktiveret, hvilket forhindrer applikationen i at oprette sine egne lokale regler, selvom brugeren siger ja.

I miljøer, hvor brugere arbejder uden administratorrettigheder, er det mest tilrådeligt at gøre det Forudkonfigurer de nødvendige regler før første brug og deaktiver indgående notifikationer for at undgå forvirring og improviserede regler, der ender med at blokere det, der burde fungere.

Specifikke overvejelser vedrørende udgangsregler

Ændring af udgangsreglerne kan øge kontrolniveauet betydeligt, men det kan også Det gør den daglige ledelse ret kompliceret.Nogle generelle retningslinjer:

  • I meget strenge sikkerhedsmiljøer kan det overvejes Ændr adfærden, så udgående forbindelser blokeres som standardDet anbefales dog aldrig at gøre det modsatte ved indgangen (tillade alt og kun blokere det, der er irriterende).
  • For de fleste implementeringer, Aktivering af standardafslutning forenkler installation og brug af applikationerKun organisationer, der prioriterer maksimal kontrol frem for brugervenlighed, bør stramme restriktionerne her.
  • Hvis du beslutter dig for at blokere udgange, er det vigtigt Vedligehold en oversigt over applikationer, og vid, hvilke der kræver forbindelseoprette specifikke regler for hver enkelt via GPO eller CSP for at gøre alt håndterbart.
Sådan afinstallerer du gamle drivere
relateret artikel:
Vejledning til konfiguration af firewallregler i Windows for at blokere apps

Avanceret firewalladministration ved hjælp af konsollen og PowerShell

Konsolen "Windows Firewall med avanceret sikkerhed" er det centrale knudepunkt for dem, der har brug for mere end blot grundlæggende sikkerhedsfunktioner. Adgang til følgende er tilgængelig fra venstre panel: Indgangsregler, udgangsregler, sikkerhedsregler for forbindelser og overvågningHer kan du oprette nye regler, aktivere eller deaktivere eksisterende regler, gennemgå hvilke profiler der er aktive, og aktivere hændelseslogning for at analysere, hvilken trafik der er tilladt eller blokeret.

Et nøgleaspekt er det Regler kan aktiveres eller deaktiveres uden at slette dem.Dette muliggør testning uden at miste konfigurationen. Du kan også justere reglernes specificitet for at prioritere dem effektivt, og husk altid, at en eksplicit blok har forrang i konflikter.

På den anden side tilbyder PowerShell en langt mere kraftfuld og gentagelig måde at håndtere alt dette på, især i IT-miljøer. Ny-NetFirewallRule Nye regler oprettes (for eksempel tilladelse af HTTP på port 80), med Get-NetFirewallRule Eksisterende regler er angivet, mens Set-NetFirewallRule, Enable-NetFirewallRule, Disable-NetFirewallRule y Fjern-NetFirewallRule De giver dig mulighed for at ændre, aktivere eller slette dem efter behov.

Kommandoer som Test-Net-forbindelse De er meget anvendelige til Tjek forbindelsen til specifikke porte og registrere resultater i implementerings- eller revisionsprocesser. God praksis omfatter brug af beskrivende navne, grupperingsregler efter formål eller anvendelseDefiner politikker for færrest rettigheder, og vedligehold en tydelig ændringslog. I kritiske projekter integreres disse regler i CI/CD-pipelines og gennemgår automatiserede sikkerhedsgennemgange.

Almindelige problemer med Windows Firewall

I daglig brug er de hyppigste hændelser relateret til applikationer, der holder op med at oprette forbindelse til internettet eller det lokale netværk uden nogen åbenlys forklaring. I mange tilfælde ligger problemet i en alt for restriktiv firewallregel, en blokeret port eller en dårligt oprettet undtagelse.

Løsningen involverer sjældent at deaktivere firewallen. Det er meget mere fornuftigt. Gennemgå de avancerede indstillinger, og kontroller reglerne for indgående og udgående trafik for den berørte applikation. og tillad det eksplicit, hvis det er nødvendigt. Der kan også opstå fejl ved aktivering eller deaktivering af firewallen, hvis relaterede tjenester ikke kører, installationen er beskadiget, eller der er konflikter med andre komponenter.

Når en antivirus eller sikkerhedspakke med egen firewallDet er almindeligt, at der opstår friktion. Det er ikke en god idé at holde to firewalls aktive samtidigt, da det kan føre til blokeringer, der er vanskelige at diagnosticere, periodiske forbindelsesfejl og endda overbelastning af ressourcer. Tredjeparts sikkerhedssoftware deaktiverer typisk den indbyggede firewall, men det er altid en god idé at bekræfte dette manuelt.

Hvornår skal standardindstillingerne gendannes

Hvis de har akkumuleret sig over tid snesevis af manuelle regler, tests, midlertidige undtagelser og profilændringerDer kan komme et punkt, hvor det bliver meget vanskeligt at forstå, hvorfor noget holder op med at virke. I disse tilfælde kan det være en rimelig løsning at gendanne firewallens standardindstillinger.

Ved at gøre det, systemet Fjern de brugerdefinerede regler, og returner politikken til dens oprindelige tilstand.Dette vil ikke påvirke installerede programmer eller andre Windows-komponenter. Det vil dog være nødvendigt at give tilladelser igen til programmer, der kræver netværksadgang, og i miljøer med organisationspolitikker vil disse politikker blive downloadet og anvendt igen.

Bedste fremgangsmåder til daglig brug af Windows Firewall

Ud over de tekniske detaljer involverer effektiv brug af firewall en række vaner, der bør internaliseres:

  • Hold firewallen altid aktiveret.især på bærbare computere og enheder, der ofte skifter netværk. Der er ingen reel grund til at lade den være permanent slukket.
  • Opret kun brugerdefinerede regler, når de virkelig er nødvendige og gennemgå dem regelmæssigt for at fjerne dem, der er blevet forældede eller ubrugte.
  • Undgå at deaktivere beskyttelse på offentlige netværkselv om det kun er midlertidigt, medmindre det er et stærkt kontrolleret testmiljø.
  • Supplér firewallen med andre sikkerhedslag: opdateret antivirusprogram, opdateret operativsystem og gode browsing- og downloadvaner.
Konfigurer FTP i Windows
relateret artikel:
Opsætning af FTP på Windows: server, tilladelser og grundlæggende sikkerhed

Kombinationen af ​​veldesignede regler, passende netværksprofiler, PowerShell-automatisering, hvor det er relevant, og en klar politik for, hvad der er og ikke er tilladt, gør Windows Firewall til et meget robust værktøj for både hjemmebrugere og administratorer. Ved at forstå, hvordan listen over tilladte programmer, avancerede regler, blokeringsprioritet og forskellige profiler relaterer sig til hinanden, kan du finjustere beskyttelsen til dine behov uden at gå på kompromis med sikkerheden eller ofre systemfunktionalitet. Del disse oplysninger, så flere brugere kender til emnet.