Добігає кінця наше чергове "турне" 🙂 з семінарами TechDays по містах Росії. Мені залишилося відвідати Калінінград (12 березня) і Краснодар (17 березня). Один з доповідей семінару присвячений технологіям безпеки Windows 7. І оскільки всі нововведення в цій області за одну доповідь звичайно ж не осягнути, постараюся в своєму блозі приділити увагу тим аспектам безпеки, про які ми в рамках семінару говорили взагалі, або говорили недостатньо докладно.

Цей пост присвячений новим можливостям вбудованого в Windows 7 firewall. Перша і головна, як мені здається, особливість firewall в Windows 7 полягає в тому, що кілька профілів можуть бути активними одночасно.

Кілька активних профілів

Нагадаю, починаючи з Windows Vista, вбудований firewall підтримує три профілю - domain, private і public (в XP їх було два - domain і standard). Кожен профіль являє собою набір застосовуваних firewall-ом правил. Всякий раз, коли комп'ютер підключається до мережі, ОС намагається ідентифікувати цю мережу і застосувати відповідний профіль. Зокрема, якщо в мережі доступний контролер домену, якому належить даний комп'ютер, автоматично застосовується доменний профіль. Якщо ж у новій мережі, до якої комп'ютер підключився, контролер домену відсутній, застосовується найбільш обмежує public-профіль. При цьому перед користувачем з'являється вікно, в якому можна явно вибрати профіль для даної мережі.

Служба Network Location Awareness (NLA) зберігає інформацію про мережі в спеціальній базі даних. Коли наступного разу комп'ютер підключиться до цієї мережі, і NLA успішно її ідентифікує на основі збереженої в базі інформації, firewall автоматично застосує відповідний профіль.

Так ось в Windows Vista в кожен момент часу тільки один профіль може бути активним. Тобто в кожен момент часу настройки тільки одного профілю застосовуються до всіх мережних інтерфейсів, для яких firewall включений. Це породжує певні проблеми. Наприклад, в доменному профілі адміністратор дозволив вхідні підключення для деякого бізнес-додатки (Microsoft Office Groove, як варіант). Користувач працює на ноутбуці в доменній мережі і використовує це бізнес-додаток. Припустимо, користувач переміщається в переговорну кімнату, з якої доступна деяка публічна WiFi-мережа, скажімо, офісу сусіднього поверху або оператора мобільного зв'язку. WiFi-адаптер ноутбука автоматично підключається до цієї публічної мережі, і для неї повинен бути застосований профіль public. У подібній ситуації, коли адаптери "дивляться" в різні мережі, Vista завжди застосовує найбільш обмежує профіль, тобто public, в якому, в свою чергу, всі вхідні підключення заборонені. Як наслідок, наше бізнес-додаток перестає коректно працювати. Інший приклад - VPN. Все той же користувач зі свого ноутбука намагається отримати доступ до корпоративних ресурсів, але вже з дому. Він встановлює VPN-підключення, і перед ним вся корпоративна мережа. Однак оскільки для VPN-підключення використовується, наприклад, private-профіль, настройки доменного профілю firewall-а не застосовуються, і бізнес-додаток знову не працює так, як треба. Все це створює певну головний біль для ІТ-відділу компанії.

Windows 7 підтримує такі ж три профілю firewall. Однак, одночасно відразу кілька профілів можуть бути активними. Кожен мережевий адаптер використовує найбільш підходящий профіль для тієї мережі, до якої він підключений.

Стало бути, після підключення з Інтернет-кафе за допомогою VPN до корпоративної мережі, до всього трафіку, наступного через VPN-тунель, застосовується доменний профіль, в той час як весь інший трафік захищений профілем public. Демонстрацію цього функціоналу ви можете подивитися в моїй доповіді: "XP, Vista, Win7 - вчора, сьогодні, завтра. Технології безпеки " на сайті TechDays .

Налаштування виключень для декількох профілів

Є кілька удосконалень в інтерфейсі аплета Windows Firewall в панелі управління. Раніше, під час налаштування виключень, тобто надання, якому додатку дозволено працювати через firewall, настройки зберігалися в поточному (активному зараз) профілі. У Windows 7 можна явно вибрати один або кілька профілів, на які поширюється цей виняток.

Подібна можливість є і при появі оповіщення про те, що деякий додаток намагається працювати через firewall.

Підкреслю, що мова йде саме про аплетів Windows Firewall. Якщо створювати в основному за рахунок Windows Firewall with Advanced Security, то і в Vista, і в Windows 7 створюване правило можна відразу ж поширити на кілька профілів.

Включення / вимикання firewall для профілів

У Windows 7 можна досить легко включити або вимкнути firewall, а також оповіщення про блокування додатків для конкретного профілю або профілів.

додаткові посилання

За допомогою додаткових посилань з аплета Windows Firewall в "сімці" можна швидко перейти до консолі Windows Firewall with Advanced Security, налаштувань за замовчуванням або до інструменту вирішення проблем.

Винятки для користувачів і комп'ютерів

При створенні правил в Windows Vista можна було задіяти IPSec і вказати, що з'єднання дозволені для конкретних користувачів і / або комп'ютерів. У Windows 7 плюс до цього можна задавати виключення для користувачів і / або комп'ютерів.

діапазони портів

Остання деталь, яку хотілося б відзначити, можливість в правилах вказувати тепер діапазони портів. В Vista можна було вказувати конкретні номери портів, розділяючи їх комою.

Додам також, що для розробників третіх фірм доступний оновлений API, що дозволяє, з одного боку, додавати свій функціонал, з іншого, задіяти тільки потрібні можливості вбудованого firewall. Наприклад, розробник може реалізувати свої політики управління firewall, але при цьому спиратися на вбудовані політики IPSec. Залишається сподіватися, що перераховані нововведення зупинять ІТ-фахівців від необдуманого відключення вбудованого firewall-а і допоможуть реалізувати більш ефективний захист робочих станцій і серверів підприємства.