главная    •     Новости      •     софт      •     RSS-ленты     •     реклама      •     PDA-Версия      •    Контакты
Windows XP    •      Windows 7     •    Windows 8    •    Windows 9-10-11     •    Windows Server     •    Железо
Советы      •     Администрирование      •     Сеть      •     Безопасность      •     Статьи      •     Материалы
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Microsoft Edge - еще более безопасный!
  • ActiveCloud - надежный провайдер облачных услуг для вашей компании
  • ANYSERVER - ваш поставщик б/у серверов из Европы
  • Настройка контекстной рекламы в Yandex и Google: Эффективный путь к росту вашего бизнеса
  • Коммутаторы с функцией PoE: Обеспечение эффективной передачи данных и питания
  • Очередное обновление сломало выключатель компьютеров на Windows 11
  • Состояние брандмауэра:

    -------------------------------------------------------------------

    Профиль                             = Обычный

    Рабочий режим                       = Enable

    Режим исключения                    = Enable

    Режим многоадр./широковещ. Ответов  = Enable

    Режим уведомления                   = Enable

    Версия групповой политики           = Нет

    Режим удаленного администрирования  = Disable

            Область: *

     

    Локальные исключения, разрешенные групповой политикой:

    -------------------------------------------------------------------

    Открытые порты        = Enable

    Разрешенные программы = Enable

     

    Параметры журнала:

    -------------------------------------------------------------------

    Размещение журнала        = F:\XP_PRO\pfirewall.log

    Наибольший размер файла   = 4096 KB

    Пропущенные пакеты        = Disable

    Подключения               = Disable

     

    Параметры службы:

    Режим     Настройка    Имя

    -------------------------------------------------------------------

    Enable    Нет          Общий доступ к файлам и принтерам

             Область: LocalSubNet

    Disable   Нет          UpnP-инфраструктура

             Область: *

    Disable   Нет          Дистанционное управление рабочим столом

             Область: *

     

    Исключения для программ:

    Режим     Лок. политика  Имя / Программа

    -------------------------------------------------------------------

    Enable    Да             Удаленный помощник / F:\XP_PRO\system32\

    sessmgr.exe

             Область: *

     

    Исключения для порта:

    Порт   Протокол  Лок. политика  Режим     Имя / Тип службы

    -------------------------------------------------------------------

    137    UDP       Да            Enable    Служба имени NetBIOS / Общий доступ к файлам и принтерам

            Область: LocalSubNet

    138    UDP       Да             Enable    Служба датаграмм NetBIOS / Общий доступ к файлам и принтерам

            Область: LocalSubNet

    139    TCP       Да            Enable    Служба сеанса NetBIOS / Общий доступ к файлам и принтерам

            Область: LocalSubNet

    445    TCP       Да            Enable    SMB поверх TCP / Общий доступ к файлам и принтерам

            Область: LocalSubNet

    1900   UDP       Да            Disable   SSDP-компонент UpnP-инфраструктуры / UPnP -инфраструктура

            Область: LocalSubNet

    2869   TCP       Да            Disable   UpnP-инфраструктура поверх TCP / UpnP-инфраструктура

            Область: LocalSubNet

    3389   TCP       Да            Disable   Дистанционное управление рабочим столом / Дистанционное управление рабочим столом

            Область: *

     

    Порты для получения входящих подключений:

    Порт   Протокол  Версия   Код       Тип   Подст. знак  Принуд.  Имя /

    Программа

    -------------------------------------------------------------------

    500    UDP       IPv4     688       App   Нет          Нет      (null) /

    F:\XP_PRO\system32\lsass.exe

            Область: *

    4500   UDP       IPv4     688       App   Нет          Нет      (null) /

    F:\XP_PRO\system32\lsass.exe

            Область: *

    123    UDP       IPv4     980       App   Нет          Нет      (null) /

    F:\XP_PRO\system32\svchost.exe

            Область: *

    123    UDP       IPv4     980       App   Нет          Нет      (null) /

    F:\XP_PRO\system32\svchost.exe

            Область: *

    1900   UDP       IPv4     1144      App   Нет          Нет      (null) /

    F:\XP_PRO\system32\svchost.exe

            Область: *

    1900   UDP       IPv4     1144      App   Нет          Нет      (null) /

    F:\XP_PRO\system32\svchost.exe

            Область: *

    68     UDP       IPv4     980       App   Нет          Нет      (null) /

    F:\XP_PRO\system32\svchost.exe

            Область: *

     

    В данный момент порты открыты во всех сетевых интерфейсах:

    Порт   Протокол  Версия   Программа

    -------------------------------------------------------------------

    137    UDP       IPv4     (null)

            Область: LocalSubNet

    139    TCP       IPv4     (null)

            Область: LocalSubNet

    138    UDP       IPv4     (null)

            Область: LocalSubNet

    445    TCP       IPv4     (null)

            Область: LocalSubNet

     

    Параметры ICMP для всех сетевых интерфейсов:

    Режим    Тип  Описание

    -------------------------------------------------------------------

    Disable  2     Разрешать сообщение «Исходящий пакет слишком велик»

    Disable  3     Разрешать сообщение «Исходящее назначение недоступно»

    Disable  4     Разрешать снижение скорости источника исходящих сообщений

    Disable  5     Разрешать перенаправление

    Enable   8     Разрешать запрос входящего эха

    Disable  9     Разрешать запрос входящего маршрутизатора

    Disable  11    Разрешать превышение исходящего времени

    Disable  12    Разрешать сообщение «Проблема исходящего параметра»

    Disable  13    Разрешать запрос входящего штампа времени

    Disable  17    Разрешать запрос входящей маски

     

    Дополнительные параметры ICMP в Local Area Connection:

    Режим    Тип   Описание

    -------------------------------------------------------------------

    Disable  2     Разрешать сообщение «Исходящий пакет слишком велик»

    Disable  3     Разрешать сообщение «Исходящее назначение недоступно»

    Disable  4     Разрешать снижение скорости источника исходящих сообщений

    Disable  5     Разрешать перенаправление

    Disable  8     Разрешать запрос входящего эха

    Disable  9     Разрешать запрос входящего маршрутизатора

    Disable  11    Разрешать превышение исходящего времени

    Disable  12    Разрешать сообщение «Проблема исходящего параметра»

    Disable  13    Разрешать запрос входящего штампа времени

    Disable  17    Разрешать запрос входящей маски

     

    Дополнительные параметры ICMP в Wireless Network Connection:

    Режим    Тип   Описание

    -------------------------------------------------------------------

    Disable  2     Разрешать сообщение «Исходящий пакет слишком велик»

    Disable  3     Разрешать сообщение «Исходящее назначение недоступно»

    Disable  4     Разрешать снижение скорости источника исходящих сообщений

    Disable  5     Разрешать перенаправление

    Disable  8     Разрешать запрос входящего эха

    Disable  9     Разрешать запрос входящего маршрутизатора

    Disable  11    Разрешать превышение исходящего времени

    Disable  12    Разрешать сообщение «Проблема исходящего параметра»

    Disable  13    Разрешать запрос входящего штампа времени

    Disable  17    Разрешать запрос входящей маски

     

    Параметры брандмауэра для «Local Area Connection»:

    -------------------------------------------------------------------

    Operational mode = Enable

    Version          = IPv4

    GUID             = {4C6BDC23-E2CC-4EC3-AF98-2414B6B8DF24}

     

    Wireless Network Connection firewall settings:

    -------------------------------------------------------------------

    Рабочий режим   = Enable

    Версия          = IPv4

    Код GUID        = {4C6BDC23-E2CC-4EC3-AF98-2414B6B8DF24} 
     

    Пример выполнения команды netsh firewall show config verbose=enable

    Конфигурация профиля Domain:

    -------------------------------------------------------------------

    Рабочий режим                                   = Enable

    Режим исключения                                = Enable

    Режим многоадресных и широковещательных ответов = Enable

    Режим уведомления                              = Enable

     

    Конфигурация службы для профиля Domain:

    Режим    Настройка   Имя

    -------------------------------------------------------------------

    Enable   Нет          Общий доступ к файлам и принтерам

            Область: *

    Disable  Нет          UpnP-инфраструктура

            Область: LocalSubNet

    Disable  Нет          Дистанционное управление рабочим столом

            Область: *

    Disable  Нет          Удаленное администрирование

            Область: *

     

    Конфигурация разрешенных программ для профиля Domain:

    Режим    Имя / Программа

    -------------------------------------------------------------------

    Enable   Удаленный помощник / F:\XP_PRO\system32\sessmgr.exe

            Область: *

     

    Конфигурация порта для профиля Domain:

    Порт   Протокол  Режим    Имя

    -------------------------------------------------------------------

    139    TCP       Enable   Служба сеанса NetBIOS

            Область: *

    445    TCP       Enable   SMB поверх TCP

            Область: *

    137    UDP       Enable   Служба имени NetBIOS

            Область: *

    138    UDP       Enable   Служба датаграмм NetBIOS

            Область: *

    1900   UDP       Disable  SSDP-компонент UpnP-инфраструктуры

            Область: LocalSubNet

    2869   TCP       Disable  UPnP-инфраструктура поверх TCP

            Область: LocalSubNet

    3389   TCP       Disable  Дистанционное управление рабочим столом

            Область: *

     

    Конфигурация ICMP для профиля Domain:

    Режим    Тип   Описание

    -------------------------------------------------------------------

    Disable  2     Разрешать сообщение «Исходящий пакет слишком велик»

    Disable  3     Разрешать сообщение «Исходящее назначение недоступно»

    Disable  4     Разрешать снижение скорости источника исходящих сообщений

    Disable  5     Разрешать перенаправление

    Disable  8     Разрешать запрос входящего эха

    Disable  9     Разрешать запрос входящего маршрутизатора

    Disable  11    Разрешать превышение исходящего времени

    Disable  12    Разрешать сообщение «Проблема исходящего параметра»

    Disable  13    Разрешать запрос входящего штампа времени

    Disable  17    Разрешать запрос входящей маски

     

    Конфигурация профиля Обычный (текущая):

    -------------------------------------------------------------------

    Рабочий режим                     = Enable

    Режим исключения                  = Enable

    Режим многоадресных и широковещательных ответов = Enable

    Режим уведомления                 = Enable

     

    Конфигурация службы для профиля Обычный:

    Режим    Настройка   Имя

    -------------------------------------------------------------------

    Enable   Нет         Общий доступ к файлам и принтерам

            Область: LocalSubNet

    Disable  Нет          UpnP-инфраструктура

            Область: LocalSubNet

    Disable  Нет          Дистанционное управление рабочим столом

            Область: *

    Disable  Нет          Удаленное администрирование

            Область: *

     

    Конфигурация разрешенных программ для профиля Обычный:

    Режим    Имя / Программа

    -------------------------------------------------------------------

    Enable   Удаленный помощник / F:\XP_PRO\system32\sessmgr.exe

            Область: *

     

    Конфигурация порта для профиля Обычный:

    Порт   Протокол  Режим    Имя

    -------------------------------------------------------------------

    139    TCP       Enable   Служба сеанса NetBIOS

            Область: LocalSubNet

    445    TCP       Enable   SMB поверх TCP

            Область: LocalSubNet

    137    UDP       Enable   Служба имени NetBIOS

            Область: LocalSubNet

    138    UDP       Enable   Служба датаграмм NetBIOS

            Область: LocalSubNet

    1900   UDP       Disable  SSDP-компонент UpnP-инфраструктуры

            Область: LocalSubNet

    2869   TCP       Disable  UpnP-инфраструктура поверх TCP

            Область: LocalSubNet

    3389   TCP       Disable  Дистанционное управление рабочим столом

            Область: *

     

    Конфигурация ICMP для профиля Обычный:

    Режим    Тип   Описание

    -------------------------------------------------------------------

    Disable  2     Разрешать сообщение «Исходящий пакет слишком велик»

    Disable  3     Разрешать сообщение «Исходящее назначение недоступно»

    Disable  4     Разрешать снижение скорости источника исходящих сообщений

    Disable  5     Разрешать перенаправление

    Disable  8     Разрешать запрос входящего эха

    Disable  9     Разрешать запрос входящего маршрутизатора

    Disable  11    Разрешать превышение исходящего времени

    Disable  12    Разрешать сообщение «Проблема исходящего параметра»

    Disable  13    Разрешать запрос входящего штампа времени

    Disable  17    Разрешать запрос входящей маски

     

    Конфигурация журнала:

    -------------------------------------------------------------------

    Размещение файла         = F:\XP_PRO\pfirewall.log

    Наибольший размер файла  = 4096 KB

    Пропущенные пакеты       = Disable

    Подключения              = Disable

     

    Конфигурация брандмауэра для Local Area Connection:

    -------------------------------------------------------------------

    Рабочий режим                  = Enable

     

    Конфигурация порта для Local Area Connection:

    Порт   Протокол  Режим    Имя

    -------------------------------------------------------------------

    23     TCP       Disable  Telnet-сервер

    3389   TCP       Disable  Дистанционное управление рабочим столом

    21     TCP       Disable  FTP-сервер

    110    TCP       Disable  Протокол Post-Office, версия 3 (POP3)

    25     TCP       Disable  Почтовый сервер Интернета (SMTP)

    143    TCP      Disable  Протокол Internet Mail Access Protocol, версия 4 (IMAP4)

    80     TCP       Disable  Веб-сервер (HTTP)

    220    TCP      Disable  Протокол Internet Mail Access Protocol, версия 3 (IMAP3)

    443    TCP       Disable  Безопасный веб-сервер (HTTPS)

     

    Конфигурация ICMP для Local Area Connection:

    Режим    Тип   Описание

    -------------------------------------------------------------------

    Disable  3     Разрешать сообщение «Исходящее назначение недоступно»

    Disable  4     Разрешать снижение скорости источника исходящих сообщений

    Disable  5     Разрешать перенаправление

    Disable  8     Разрешать запрос входящего эха

    Disable  9     Разрешать запрос входящего маршрутизатора

    Disable  11    Разрешать превышение исходящего времени

    Disable  12    Разрешать сообщение «Проблема исходящего параметра»

    Disable  13    Разрешать запрос входящего штампа времени

    Disable  17    Разрешать запрос входящей маски

     

    Конфигурация брандмауэра Local Area Connection 2:

    -------------------------------------------------------------------

    Рабочий режим                  = Enable

     

    Конфигурация порта для Local Area Connection 2:

    Порт   Протокол  Режим    Имя

    -------------------------------------------------------------------

    21     TCP       Disable  FTP-сервер

    25     TCP       Disable  Почтовый сервер Интернета (SMTP)

    3389   TCP       Disable  Дистанционное управление рабочим столом

    443    TCP       Disable  Безопасный веб-сервер (HTTPS)

    143    TCP      Disable  Протокол Internet Mail Access Protocol, версия 4 (IMAP4)

    23     TCP       Disable  Telnet-сервер

    220    TCP      Disable  Протокол Internet Mail Access Protocol, версия 3 (IMAP3)

    110    TCP       Disable  Протокол Post-Office, версия 3 (POP3)

    80     TCP       Disable  Веб-сервер (HTTP)

     

    Конфигурация ICMP для Local Area Connection 2:

    Режим    Тип   Описание

    -------------------------------------------------------------------

    Disable  3     Разрешать сообщение «Исходящее назначение недоступно»

    Disable  4     Разрешать снижение скорости источника исходящих сообщений

    Disable  5     Разрешать перенаправление

    Disable  8     Разрешать запрос входящего эха

    Disable  9     Разрешать запрос входящего маршрутизатора

    Disable  11    Разрешать превышение исходящего времени

    Disable  12    Разрешать сообщение «Проблема исходящего параметра»

    Disable  13    Разрешать запрос входящего штампа времени

    Disable  17    Разрешать запрос входящей маски

     

    Конфигурация брандмауэра для Wireless Network Connection:

    -------------------------------------------------------------------

    Рабочий режим                  = Enable

     

    Конфигурация порта для Wireless Network Connection:

    Порт   Протокол  Режим    Имя

    -------------------------------------------------------------------

    220    TCP       Disable  Протокол Internet Mail Access, версия 3 (IMAP3)

    23     TCP       Disable  Telnet-сервер

    25     TCP       Disable  Почтовый сервер Интернета (SMTP)

    443    TCP       Disable  Безопасный веб-сервер (HTTPS)

    3389   TCP       Disable  Дистанционное управление рабочим столом

    110    TCP       Disable  Протокол Post-Office, версия 3 (POP3)

    143    TCP       Disable  Протокол Internet Mail Access, версия 4 (IMAP4)

    21     TCP       Disable  FTP-сервер

    80     TCP       Disable  веб-сервер (HTTP)

     

    Конфигурация ICMP для Wireless Network Connection:

    Режим    Тип   Описание

    -------------------------------------------------------------------

    Disable  3     Разрешать сообщение «Исходящее назначение недоступно»

    Disable  4     Разрешать снижение скорости источника исходящих сообщений

    Disable  5     Разрешать перенаправление

    Disable  8     Разрешать запрос входящего эха

    Disable  9     Разрешать запрос входящего маршрутизатора

    Disable  11    Разрешать превышение исходящего времени

    Disable  12    Разрешать сообщение «Проблема исходящего параметра»

    Disable  13    Разрешать запрос входящего штампа времени

    Disable  17    Разрешать запрос входящей маски


    Ведение журналов Аудита

    Для отслеживания изменений, вносимых в настройки Брандмауэра Windows, и определения приложений и служб, обращающихся к ОС Windows XP для прослушивания портов, Вы можете включить аудит и затем просматривать события аудита в журнале безопасности.

    Чтобы активировать ведение журнала аудита на компьютере под управлением Windows XP SP2, сделайте следующее:

    1. Выполните вход в систему с учётными данными администратора компьютера.
    2. Из меню Пуск (Start) перейдите в Панель управления (Control Panel), выберите Производительность и обслуживание (Performance and Maintenance), а затем нажмите Администрирование (Administrative Tools).
    3. В окне Администрирование (Administrative tools), дважды щёлкните по ярлыку Локальная политика безопасности (Local Security Policy).
    4. В дереве консоли оснастки Параметры безопасности (Local Security Settins) выберите Локальные политики (Local Policies), затем Политика Аудита (Audit Policy).
    5. В правой панели оснастки Параметры безопасности (Local Security Settings), дважды щёлкните Аудит изменения политики (Audit policy change). Отметьте поля Успех (Success) и Отказ (Failure) и нажмите ОК.
    6. В правой панели оснастки Параметры безопасности (Local Security Settings), дважды щёлкните Аудит отслеживания процессов (Audit process tracking). Отметьте поля Успех (Success) и Отказ (Failure) и нажмите ОК.
    7. Закройте оснастку Параметры безопасности (Local Security Settins).

    Вы также можете включить аудит для нескольких компьютеров в домене службы каталогов Active Directory® через Групповую политику, изменяя настройки Аудита изменения политики ( Audit policy change) и Аудита отслеживания процессов ( Audit process tracking) в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политика аудита (Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy) для объектов групповой политики в соответствующих контейнерах системы домена. 

    После включения аудита для просмотра событий аудита в журнале безопасности используйте оснастку Просмотр событий (Event Viewer).

    Брандмауэр Windows использует следующие ID коды событий:

    • 848 - Отображает загрузочную конфигурацию Брандмауэра Windows (Windows Firewall).
    • 849 - Отображает настройки исключений для программ.
    • 850 - Отображает настройки исключений для портов.
    • 851 - Отображает изменение в перечне настроек исключений для программ.
    • 852 - Отображает изменение в перечне настроек для портов.
    • 853 - Отображает изменение рабочего состояния Брандмауэра Windows (Windows Firewall).
    • 854 - Отображает изменение в настройках ведения журнала Брандмауэра Windows (Windows Firewall).
    • 855 - Отображает изменение в параметрах ICMP.
    • 856 - Отображает изменение установки Запретить однонаправленный ответ на многоадресный или широковещательный запрос (Prohibit unicast response to multicast or broadcast requests setting).
    • 857 - Отображает изменение настройки Удалённого администрирования (Remote Administration).
    • 860 - Отображает изменение профиля.
    • 861 - Отображает приложение, перешедшее в состояние ожидания входящего трафика.


    Файл журнала Брандмауэра Windows

    Чтобы определить, отклоняет ли данный компьютер входящие пакеты, включите ведение журнала Брандмауэром Windows локально либо через Групповую политику.

    В файл Pfirewall.log, по умолчанию находящийся в корневой папке Windows, в зависимости от Параметров (Settings) Ведения журнала безопасности (Security Logging) из вкладки Дополнительно (Advanced) диалогового окна Брандмауэр Windows, либо от параметров, заданных установкой групповой политики Брандмауэра Windows Разрешать ведение журнала (Windows Firewall: Allow logging), записываются как отклонённые входящие запросы, так и успешные соединения. Содержание файла Pfirewall.log помогает, не задавая исключения и не разрешая сообщения ICMP, определить, принимается ли трафик компьютером, на котором работает Брандмауэр Windows.

    Например, если установить флажок Записывать пропущенные пакеты (Log dropped packets), то весь непринятый входящий трафик будет отмечаться в файле  Pfirewall.log. Просмотреть этот файл можно, открыв его двойным щелчком в корневой папке Windows с помощью Проводника Windows (Windows Explorer). Содержание файла журнала помогает определить случаи, когда трафик, дошедший до Вашего компьютера, не был допущен Брандмауэром Windows.

    Ниже приведён пример содержания файла Pfirewall.log

    Примечание. Некоторые строки кода перенесены для удобства чтения. 

    #Version: 1.5

    #Software: Microsoft Windows Firewall

    #Time Format: Local

    #Fields: date time action protocol src-ip dst-ip src-port dst-port size

    tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path

     

    2004-07-08 15:22:30 DROP UDP 157.60.137.221 255.255.255.255 3134 712 88

    - - - - - - - RECEIVE

    2004-07-08 15:22:31 DROP UDP 157.60.138.21 239.255.255.250 3289 1900 161

    - - - - - - - RECEIVE

    2004-07-08 15:22:34 DROP UDP 157.60.138.21 239.255.255.250 3289 1900 161

    - - - - - - - RECEIVE

    2004-07-08 15:22:35 DROP UDP 157.60.138.134 239.255.255.250 3507 1900 161

    - - - - - - - RECEIVE

    2004-07-08 15:22:37 DROP UDP 157.60.138.21 239.255.255.250 3289 1900 161

    - - - - - - - RECEIVE

    2004-07-08 15:22:37 DROP UDP 157.60.136.211 239.255.255.250 4274 1900 161

    - - - - - - - RECEIVE

    2004-07-08 15:22:38 DROP UDP 157.60.138.134 239.255.255.250 3507 1900 161

    - - - - - - - RECEIVE

    2004-07-08 15:22:38 DROP UDP 192.168.0.1 239.255.255.250 1900 1900 280

    - - - - - - - RECEIVE 

    В следующей таблице приводятся названия и описания полей в записях журнала Брандмауэра Windows. 

      

    Поле      Описание
    date Отображает год, месяц и день принятия пакета. Даты записываются в виде ГГГГ-ММ-ДД, где ГГГГ – год, ММ – месяц, ДД – день.
    time Отображает час, минуту и секунду принятия пакета. Время записывается в виде ЧЧ:ММ:СС, где ЧЧ – часы в 24-часовом формате, ММ – минуты, СС – секунды.
    action Обозначает операцию, зарегистрированную брандмауэром. Возможные значения - OPEN, CLOSE, DROP (открытие, закрытие, отклонение) и INFO-EVENTS-LOST. Значение INFO-EVENTS-LOST присваивается, если событие имело место, но не было записано в журнале.
    protocol Отображает название протокола, использовавшегося при соединении. Это может быть TCP, UDP, ICMP или код из поля протокола в IP-заголовке непринятого пакета.
    src-ip Отображает IP-адрес отправителя пакета.
    dst-ip Отображает IP-адрес получателя пакета.
    src-port Отображает номер порта, с которого был послан пакет, в TCP или UDP заголовке пакета. Запись в поле src-port имеет вид целого числа в диапазоне от 1 до 65535. Данное значение отображается корректно только для трафика, идущего через порты TCP и UDP.
    dst-port Отображает номер порта, на который пакет был послан, в TCP или UDP заголовке пакета. Запись в поле dst-port имеет вид целого числа в диапазоне от 1 до 65535. Данное значение отображается корректно только для трафика, идущего через порты TCP и UDP.
    size Отображает размер пакета в байтах
    tcpflags Отображает контрольные флаги TCP заголовков

    A – Ack: Номер октета, который должен прийти следующим

    F – Fin: Отправитель закончил посылку байтов.

    P – Psh: Получатель должен передать эти данные прикладной программе как можно быстрее. (Функция Push)

    R – Rst: Прерывание связи.

    S – Syn: Cинхронизация номеров сегментов

    U – Urg: Указатель важной информации

    tcpsyn Отображает номера сегментов TCP в TCP заголовке.
    tcpack Отображает номер следующего октета в TCP заголовке.
    tcpwin Отображает размер окна TCP в TCP заголовке.
    icmptype Отображает тип сообщения ICMP в ICMP заголовке.
    icmpcode Отображает код ICMP в ICMP заголовке.
    info Информационное поле, запись в котором зависит от типа зарегистрированной операции. Например, при операции INFO-EVENTS-LOST запись содержит число, соответствующее количеству событий, произошедших, но не записанных с момента последнего случившегося события данного типа.
    path Отображает направление движения пакета. Принимает значения SEND (для отправленных пакетов), RECEIVE (для принятых пакетов) и FORWARD (для перенаправленных пакетов).
     

    Дефис обозначает отсутствие информации для записи в данном поле.

    Содержание файла  Pfirewall.log может также помочь при выявлении случаев сканирования Вашего компьютера злонамеренными пользователями Интернета.

    Оснастка Службы (Services)

    Оснастка Службы (Services) используется для контроля состояния служб (программ, работающих на Вашем компьютере и обеспечивающих системную поддержку запускаемых Вами приложений). При устранении проблем с Брандмауэром Windows пользуйтесь оснасткой Службы (Services) для проверки состояния и свойств службы Брандмауэр Windows/Общий доступ к Интернету (ICS) (Windows Firewall (WF)/Internet Connection Sharing (ICS)). Если Брандмауэр Windows был включён, служба Брандмауэр Windows/Общий доступ к Интернету (ICS) (Windows Firewall (WF)/Internet Connection Sharing (ICS)) в оснастке Службы (Services) должна быть запущена и настроена на автоматический запуск.

    С помощью оснастки Службы (Services) можно решить проблему с Брандмауэром Windows следующим образом: 

    1. Из меню Пуск (Start) перейдите в Панель управления (Control Panel), выберите Производительность и обслуживание (Performance and Maintenance), затем Администрирование (Administrative Tools) и дважды щёлкните по ярлыку Службы (Services).
    2. В правой панели оснастки Службы (Services) дважды щёлкните Брандмауэр Windows/Общий доступ к Интернету (ICS) (Windows Firewall (WF)/Internet Connection Sharing (ICS)). Задайте Тип запуска (Startup Type)Авто (Auto), Состояние (Service status)Работает (Started) ( Прим. переводчика – Нажмите кнопку Пуск , если служба не запущена)

    Пример показан на рисунке. 

    Troubleshooting Windows Firewall

    Оснастка Просмотр событий (Event Viewer) 

    Если службу Брандмауэр Windows/Общий доступ к Интернету (ICS) (Windows Firewall (WF)/Internet Connection Sharing (ICS)) не удаётся запустить, в журнале системных событий создаётся соответствующая запись с указанием причин ошибки запуска. Кроме этого, события аудита, относящиеся к изменениям в конфигурации Брандмауэра Windows и запросам программ на открытие портов, сохраняются в журнале событий безопасности. Для просмотра журналов системных событий или событий безопасности пользуйтесь оснасткой Просмотр событий.

    Для просмотра записей в журналах системных событий или событий безопасности с помощью оснастки Просмотр событий, сделайте следующее:

    1. Из меню Пуск (Start) перейдите в Панель управления (Control Panel), выберите Производительность и обслуживание (Performance and Maintenance), затем Администрирование (Administrative Tools) и дважды щёлкните по ярлыку Просмотр событий (Event Viewer).
    2. Для просмотра отчётов об ошибках службы Брандмауэр Windows/Общий доступ к Интернету (ICS) Windows Firewall (WF)/Internet Connection Sharing (ICS), нажмите Система (System) в дереве консоли оснастки Просмотр событий (Event Viewer).
    3. В правой панели оснастки Просмотр событий (Event Viewer) найдите сообщения об ошибках.
    4. Для просмотра событий аудита, связанных с запросами приложений или служб на открытие портов, нажмите Безопасность (Security) в дереве консоли оснастки Просмотр событий (Event Viewer).
    5. В правой панели оснастки Просмотр событий (Event Viewer) ищите в графе Событие (Event) сообщения с кодами 849, 850 и 861.

    На рисунке показан пример события аудита в журнале событий безопасности. 

    Troubleshooting Windows Firewall

    Утилита командной строки Netstat

    С помощью команды Netstat можно получить разнообразную информацию об активных подключениях, портах, прослушиваемых компьютером, статистику Ethernet, таблицы маршрутизации IP, статистики IPv4 и Ipv6. В ОС Windows XP SP2 команда Netstat поддерживает новый параметр -b, отображающий по именам файлов компоненты, прослушивающие каждый открытый TCP и UDP порт.

    В ОС Windows XP SP1 и Windows XP SP2 команда netstat –ano используется для вывода всех прослушиваемых портов в числовом формате и кодов соответствующих процессов (PID). По кодам процессов (PID) с помощью команды tasklist /svc можно узнать имена процессов, использующих тот или иной порт. Однако, в случае, если один процесс задействует несколько служб, определить при помощи команды netstat –ano , какая именно служба  в составе процесса использует данный порт, невозможно.

    Команда netstat -anb выводит все открытые TCP или UDP порты в числовом формате, имена файлов, соответствующих компонентам служб, использующих эти порты, а также коды процессов (PID). Зная имя файла и PID, можно определить, какая служба из выводимых командой tasklist /svc открыла  порт. 

    Заключение

    Брандмауэр Windows, включённый в ОС Windows XP SP2, представляет собой узловой брандмауэр, регистрирующий состояние связи и прерывающий передачу незапрашиваемого входящего трафика, не соответствующего действующим исключениям. Брандмауэр Windows обеспечивает защиту от попыток поиска уязвимостей путём сканирования портов компьютера злонамеренными пользователями Интернета. Брандмауэр Windows активирован по умолчанию и может быть настроен с помощью нового диалогового окна Брандмауэр Windows или через установки Групповой политики. Наиболее распространённой проблемой при использовании Брандмауэра Windows является невозможность приёма трафика сервером, клиентом, равнозначным узлом сети или прослушивающим сеть приложением. В большинстве случаев, для восстановления функциональности соединения, используемого приложением, достаточно правильно задать исключения. В ОС Windows XP содержатся инструменты для сбора информации при решении проблем с Брандмауэром Windows.




    Оцените статью: Голосов

    Материалы по теме:
  • Управление Windows XP Firewall через командную строку.
  • Три секрета Windows XP.
  • Решение проблем при работе с Брандмауэром Windows в ОС Microsoft Windows XP Service Pack 2. Часть I
  • Встроенный брандмауэр Windows
  • Что делать, если Windows не завершает работу.



  • Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет двадцать минус три?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    МАТЕРИАЛЫ    ОТ ПАРТНЁРОВ

    Copyright © 2006-2022 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+