Для авторов
Архив рассылки
Русский
English
   Путь: Panvasoft / Блог / Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista!
[Новости] [Linux] [Windows XP] [Windows Vista] [Windows Server] [Windows 7] [Администрирование] [Сеть и интернет] [Безопасность] [Tricks & Tips] [Мультимедиа] [Железо] [Книги] [Проечее] 15:05:11, Четверг, 28 Марта 2024 

|

Принимая во внимание тот факт, что одной из обязанностей персонального брандмауэра является блокирование потенциально опасных входящих подключений к вашему компьютеру, следует сказать, что у него есть и другая обязанность, а именно блокирование потенциально опасных исходящих подключений. Например, если хакер нашел путь проникновения в вашу систему, и пытается переправить с вашего компьютера на свой какие-либо важные файлы, то хороший персональный брандмауэр должен приостановить большинство установленных исходящих соединений до тех пор, пока не получит от пользователя соответствующего разрешения (одной из проблем при таком блокировании является то, что пользователь редко получает достаточно информации, чтобы принять правильное решение).

Такая проблема была у брандмауэра, который Microsoft предлагала в Windows XP Service Pack 2, который был довольно бесполезен, так как мог блокировать только входящие соединения. Когда вышел этот брандмауэр, мы указали на то, что наличие такой защиты хуже, чем отсутствие брандмауэра вообще. Ведь если у вас стоит защита, которая не работает, то вы ложно полагаете, что ваш компьютер защищен.

По мере того, как уходили в прошлое старые брандмауэры от Microsoft, мы надеялись, что эта проблема будет решена в Windows Vista. Согласно Роберту Вамози (Robert Vamosi) из CNET, наши надежды, похоже, не оправдались. Вамози пишет:

«Microsoft говорит, что в Windows Vista ее новый брандмауэр стал двусторонним, но при более близком знакомстве с ним становится понятно, что это – не более чем очередной вводящий в заблуждение маркетинговый ход. В Windows Vista стоит такой же односторонний брандмауэр».

Вамози описал, каким образом персональный брандмауэр Vista осуществляет блокирование исходящих подключений.

Большинство персональных (и сетевых) брандмауэров разрешают установить исходящее соединение только в том случае, если в настройках брандмауэра было установлено правило, позволяющее это сделать. И это хорошо. С того момента, как такой брандмауэр установлен, любое действие запрещается до тех пор, пока пользователь (или системный администратор) не даст соответствующее разрешение. Первое время после установки большинства персональных брандмауэров они запускают мастер установки правил каждый раз, когда какое-то приложение на их ПК пытается соединиться с Интернет. В большинстве случаев, такой мастер предлагает вам достаточно легко выбрать один из четырех вариантов действий:

  • блокировать данное исходящее соединение (определенное приложение обращается к определенному сетевому порту) только в этот раз;
  • блокировать данное исходящее соединение постоянно;
  • позволить установить данное исходящее соединение только в этот раз;
  • позволять устанавливать данное исходящее соединение постоянно.


Но брандмауэр Windows Vista работает по другому принципу. Позволяется постоянно устанавливать любое исходящее соединение до тех пор, пока не будет создано правило, по которому определенное соединение нужно блокировать. Несмотря на то, что Вамози высказывал свое беспокойство на счет надежности брандмауэра Vista еще до ее выпуска, Microsoft продолжала использовать «полузащищенный» вариант. По словам Вамози, Microsoft объяснила такое свое решение возможностью возникновения ситуации, когда при первом запуске Vista, стало бы выскакивать множество предложений от мастера управления, и неопытные пользователи просто перестали бы уделять должное внимание информации, содержащейся в них. Вамози, как и мы, с этим не согласен. При поступлении предложения о блокировании исходящего соединения, которое появляется в виде всплывающего окна, конечный пользователь или системный администратор, должны проделывать серию последовательных и обдуманных шагов, чтобы блокировать такое соединение.

Вамози обращает внимание на трудность последовательного прохождения этих шагов, потому и мы попробовали сделать это и создали серию иллюстрации, так что вы можете проследить наши шаги. Но сначала, вот то, что сказал на этот счет Вамози:

«Хорошо прописывать исключения, особенно, когда вы являетесь домашним пользователем, даже не представляющим как блокировать соединения и надо ли вообще это делать. Домашние пользователи вновь заплатили свою цену за использование на своих ПК операционной системы, разработанной для корпоративного использования. Если вы не IT-администратор, то у вас вряд ли получится правильно настроить параметры брандмауэра».



На скриншотах представлено добавление нового правила блокирования исходящего сообщения и другие распространенные пользовательские действия. Данная галерея показывает все наши дальнейшие манипуляции в виде изображений. Сначала, после того, как был установлен Firefox, ничто не препятствовало его доступу в сеть (это подтверждает тот факт, что по умолчанию для приложений разрешено устанавливать исходящее соединение). Для того, чтобы отказать Firefox в доступе в Интернет, мы сделали, на наш взгляд наиболее очевидное действие. Но, поскольку вы столкнетесь с различными диалогами конфигурации брандмауэра, то вам вряд ли поможет ваша интуиция, даже наоборот, я бы сказал, что эти диалоговые окна «антиинтуитивны». Например, когда вы будете выполнять довольно очевидные действия, чтобы настроить брандмауэр, вы не увидите никаких упоминаний о том, что есть разница между входящими и исходящими соединениями. Пользователи Windows Vista столкнуться с такими терминами, как «exceptions» и «ports», и их вдвойне запутает следующее объяснение: «Исключения определяют, как программы могут устанавливать соединение через Windows Firewall. Добавьте в исключения программу или порт, для того, чтобы разрешить им устанавливать соединение через брандмауэр».

Не предоставляется никакой справочной информации о исходящих и входящих подключениях. Фраза «программа соединяется через Windows Firewall» должна означать для нас исходящее подключение? Это не похоже на информацию о том, «как отдельные компьютеры или сайты связываются через брандмауэр Windows».

Таким образом, в противопоставление тому, что говорил Вамози, то, что прозвучало, как разрешение приложению установить связь через брандмауэр Windows Vista, мы бы перевели как сообщение о том, что программа будет добавлена к списку приложений, которым разрешено соединение. А как еще вы могли бы интерпретировать вышеупомянутый язык?

Но, поскольку мы уже сказали вам, что, сразу после инсталляции Firefox, ему предоставили полную свободу подключений к Интернет, то данный факт опровергал правильность нашей интерпретации. Нашим первым предположением было то, что данный текст имеет обратный смысл: возможно, этот список исключений перечисляет приложения, которые должны быть блокированы для соединения. Но добавление Firefox к этому списку не принесло никаких результатов. Для чего же тогда этот список? После недолгих размышлений мы вернулись к списку исключений, один раз кликнули по единственному проверенному пункту (Core Networking), и нажали на кнопку «Properties»/Свойства, после чего появилось следующее окно:



Как вы видите, оно содержит ссылку "How do I view and edit all properties?"/Как я могу просмотреть и изменить все настройки. Эврика! Здесь мы можем узнать какую конфигурацию имеет брандмауэр Windows, чтобы блокировать входящие или исходящие соединения с компонентами Core Networking.

Как вы можете видеть вышепредставленной галерее скриншотов, мы перешли на список часто задаваемых вопросов (FAQ), и, что еще хуже, среди них не было вопроса, ссылку на который мы нажимали. Среди этих вопросов мы нашли один, который касался запутанного языка в UI, с которым мы столкнулись ранее. Там спрашивалось «Что может делать программа, у которой есть разрешение в брандмауэре?». Мы перешли по этой ссылке, и вот какой там был ответ:

«Разрешение работы программы через межсетевую защиту (иногда это называю разблокированием) означает, что когда Вы создаете исключение, это дает возможность программе как отправлять, так и получать информацию через брандмауэр. Вы можете также разрешить программе работать подобным образом, открыв один или несколько портов».

К сожалению, этот ответ FAQ, как и наше небольшое испытание с Firefox, оказался по большому счету бесполезен.

Есть способ настроить блокирование исходящих соединений в брандмауэре Windows Vista! Если вы пройдете по следующему пути, Control Panel > System and Maintenance > Administrative Tools > Windows Firewall with Advanced Security, то вы увидите текущие списки правил входящих/исходящих и только исходящих соединений.



Кстати, правило для Firefox, которое мы создали ранее, появилось у нас в списке входящих подключений. Теперь то мы знаем, что означало вышеупомянутое пояснение брандмауэра.


Итог (Это следует прочесть разработчикам Windows Firewall)

Есть три главных проблемы.

  • Первая, это то, о чем говорил Вамози. Приложения должны быть блокированы по умолчанию.
  • Вторая, для пользователей должен быть создан более понятный мастер установки правил на входящие и исходящие соединения (или, по крайней мере, прямая ссылка на rule authoring tool на Панели управления).
  • Третья. Интерфейс окна установки правила предназначен скорее для ученых, чем для обычных пользователей. Например, когда мы нажали обзор для выбора приложения, которое собираемся заблокировать, открылась папка System32, вместо того, чтобы просто предоставить нам список приложений.


В итоге, мы опять пришли к тому, что брандмауэр Windows это еще хуже, чем отсутствие защиты вообще, так как:

  • Eго наличие может вызвать у вас ложное ощущение защищенности;
  • cистема не делает ничего, что могло бы побудить вас установить привила на соединения;
  • cмертным (т.е. большинству пользователей Windows) практически невозможно настроить его.

Microsoft следовало бы последовать совету Вамози и сделать несколько вещей. Во-первых, установить блокирование исходящих соединений по умолчанию. Во-вторых, сделать так, чтобы подобные действия осуществлялись в форме всплывающих диалоговых окон, в которых бы подтверждалось, что должна далее делать Windows. В-третьих, блокирование должно распространяться не только на IP-адрес, но и на домен.

Категория: Windows Vista
Источник: blogs.zdnet.com/Berlind Опубликовал: Feeder, Дата: 14.2.2007, Просмотров сегодня: 0, Просмотров всего: 15233, Рейтинг: 1.85 (Проголосовало: 13) Теги: Vista, сеть, Интернет, Безопасность, Брандмаурер, Firewall

Расскажи друзьям:


Еще статьи на угад:
Интерфейс Windows Vista - это шаг назад, считают аналитики
Пять ошибок, которые сделала Microsoft с Windows Vista
Что есть в Vista, чего нет в XP?
KMS-кряк для Windows Vista Home Basic и Home Premium
Установка Windows Vista с флэш-драйва USB 2.0
Нелегальный KMS сервер активирует Windows Vista всем желающим
Windows Vista против Ubuntu Linux: битва за место на компьютерах

Ваши комментарии:
BernardSmult, weranda32[at]rambler.ua в 12.3.2023 20:06:18

http://lenta.crimea.ua/politics/2012/1/19
<a href=https://elitsy.ru/communities/105721/782462/#comment-1562997>Стрейч пленка компакт для ручной упаковки. Купить оптом по привлекательной цене!</a> <a href=https://zhauap.kz/77400/%D0%B0%D0%BA%D0%BA%D1%83%D1%80%D0%B0%D1%82%D0%BD%D0%BE%D1%81%D1%82%D1%8C-%D0%B1%D0%B5%D1%80%D0%B5%D0%B6%D0%BB%D0%B8%D0%B2%D0%BE%D1%81%D1%82%D1%8C-%D1%8D%D1%82%D0%BE?show=158771#a158771>Стрейч пленка в джамбо первый сорт. Купить оптом по привлекательной цене!</a> <a href=http://www.mizukami-parts.com/cgi-def/admin/C-100/bbs_map/yybbs.cgi>Стрейч пленка. Купить оптом по привлекательной цене!</a> <a href=http://home1.catvmics.ne.jp/%7Eakairoha/175YYmegamiBBS956/yybbs.cgi?>Стрейч пленка компакт Ширина 125 мм. Купить оптом по привлекательной цене!</a> <a href=https://konakovo.medre.ru/mc/mdtc-blagovest.php>Стрейч пленка для ручного использования первый сорт. Купить оптом по привлекательной цене!</a> 57fa141
BernardSmult, weranda32[at]rambler.ua в 10.3.2023 09:05:32

http://m-bike.ru/o_velosipedah-7.html
<a href=https://elitsy.ru/communities/30355/98952/#comment-1562605>Стрейч пленка для ручного использования первый сорт. Купить оптом по привлекательной цене!</a> <a href=https://cherepovec.medre.ru/mc/mdtc-blagovest.php>Стрейч пленка компакт Ширина 100 мм. Купить оптом по привлекательной цене!</a> <a href=https://elitsy.ru/communities/81755/142983/#comment-1562589>Стрейч пленка для ручного использования первый сорт. Купить оптом по привлекательной цене!</a> <a href=https://elitsy.ru/communities/31338/108254/#comment-1562617>Стрейч пленка для ручного использования. Купить оптом по привлекательной цене!</a> <a href=http://www.mizukami-parts.com/cgi-def/admin/C-100/bbs_map/yybbs.cgi>Стрейч пленка. Купить оптом по привлекательной цене!</a> 755a919
LorettaBut, murterv[at]yandex.com в 13.9.2020 08:44:35

Стремление женщины иметь красивые и идеальные ноги появляется сразу, как только она забывает о буднях рутинной работы и стремится окунуться в океан отдыха. Особенно это происходит в весенний и летний периоды, когда теплый воздух вдохновляет и возбуждает пробуждение природы.
<a href=https://chel-week.ru/33533-sdelat-nogi-krasivymi-i-stroynymi.html>как сделать ноги стройными и подтянутыми</a>

<a href=https://chel-week.ru/33533-sdelat-nogi-krasivymi-i-stroynymi.html><img src="https://ezdejo.hu/upload/313/perillisz-honalj-es-bikini.jpg"></a>
umnodomaa, smarthouser[at]hotmail.com в 27.8.2013 19:31:06



ЗАКАЖИТЕ ТЕСТ ВИДЕОНАБЛЮДЕНИЯ БЕСПЛАТНО ПРЯМО СЕЙЧАС И СМОТРИТЕ ЗА СВОИМИ СОТРУДНИКАМИ ИЗ ДОМА УЖЕ ЗАВТРА!

Вот, что пишут наши клиенты:

"Камеры поставил, чтобы наблюдать за сотрудниками. Когда люди знают, что за ними наблюдают, это повышает дисциплину. Систему видеонаблюдения установили очень оперативно. Качество проведенных работ – на высоте. Спасибо."

Директор Андреевского кондитерского дома,
Перов Алексей Владимирович

А вы все еще думаете, ставить ли видеонаблюдение в своем бизнесе?

Тогда прямо сейчас закажите бесплатный тест видеонаблюдения по телефону: (812) 715-44-11 и получите 1 камеру в подарок бесплатно*!

*Подарок предоставляется в случае оплаты системы видеонаблюдения после теста.
YUGR, yugr[at]mail333.com в 22.4.2011 14:31:10
отлично блокирует (исходящие) для назначенных программ и не дает им ходить на свой сайт за обновлениями (и проверками) - а что еще от фаервола может требоваться?
Добавить свое мнение о данной программе:
Имя
Email
Сообщение:
Введите символы:
вверх страницы

  Подпишитесь на лист рассылки и стань одним из 16434, кто узнает о новых программах по почте!!

 Введтите ваш e-mail:

Подписаться
Отписаться



© 1999 - 2024 Panva Web Studio
(0.03272 секунд) Написать письмо вебмастеру