Брандмауэр в Windows 7: включение и отключение защитника сети
Защиту Windows 7 от сетевых угроз обеспечивает специальная системная служба — брандмауэр. Иногда он также называется файрволом или персональным межсетевым экраном. Microsoft не рекомендует отказываться от использования защитника, но если вы установили сторонний файрвол, можно отключить брандмауэр в Windows 7. Иногда также может потребоваться внесение некоторых программ в «белый список» защитника сети.
Что такое брандмауэр и зачем он нужен
Основное предназначение этой встроенной утилиты — фильтрация интернет-трафика. Для определения подозрительной активности она использует набор предварительно заданных правил. Потенциально опасные соединения блокируются, не позволяя злоумышленникам получить доступ к компьютеру пользователя. Ограничения могут быть применены и к отправке исходящих пакетов. Таким образом обеспечивается конфиденциальность данных, хранящихся на жёстком диске.
Похожий функционал присутствует не только в операционной системе, но и на большинстве моделей роутеров. Между встроенным защитником Windows и сетевым экраном маршрутизатора есть принципиальное отличие. При активации этой функции на роутере обеспечивается сетевая безопасность всех домашних устройств, а не только одного ПК. Существуют и отдельные программы с аналогичными функциями, не входящие в прошивку маршрутизатора и комплект поставки «семёрки».
Обратите внимание! Не следует путать файрвол и антивирус. Второй тип приложений имеет другой функционал, так как он анализирует не сетевую активность, а пользовательские файлы и код запущенных программ. В системах Microsoft есть отдельная антивирусная служба — «Защитник Windows».
Как включить и настроить брандмауэр
Этот компонент системы автоматически включается после её установки. Поэтому никаких дополнительных действий для активации службы совершать не требуется. При этом, вы можете легко проверить её текущий статус. Достаточно открыть панель управления, затем выбрать пункт «Брандмауэр Windows». В этом разделе можно выполнить и другие действия:
- Отключить брандмауэр в Windows 7.
- Ознакомиться с текущими настройками.
- Восстановить рекомендуемые свойства сетевого защитника.
- Изменить порядок вывода уведомлений о деятельности службы.
Если служба выключена, на главной странице настроек её статус будет отображаться красным цветом. Чтобы включить защиту, нажмите кнопку «Использовать рекомендуемые параметры». Для более тонкой конфигурации перейдите в меню по ссылке, позволяющей включить/отключить защитник. Такая настройка заключается в разделении параметров файрвола при подключении к домашним и общественным сетям. Второй тип подключений обычно требует более строгих подходов по безопасности передачи данных.
Важно! Если блокировка соединений мешает корректной работе нужного вам приложения, внесите его в список исключений. Это делается на отдельной странице, которую можно включить через меню в левой части окна. Напротив названия программы установите галочки, затем сохраните параметры.
Как отключить брандмауэр в Windows 7
Отключить утилиту можно через тот же пункт панели управления, в котором настраивается защитник сети. Система позволяет полностью отключить файрвол или остановить его работу только в частных/общественных сетях. После выключения защитника ОС будет регулярно отображать предупреждения и предложения его включить. Чтобы избавиться от этих сообщений, воспользуйтесь разделом настройки уведомлений.
Для ускорения работы компьютера рекомендуется также отключить аналогичную службу в операционной системе. Чтобы это сделать, нужно включить меню «Пуск» и набрать «msconfig». Далее откройте предложенную программу и перейдите на вкладку «Службы». Здесь отображаются все фоновые процессы, автоматически запускаемые при загрузке ОС. Найдите службу с соответствующим названием и уберите флажок напротив неё. Затем примените изменения при помощи кнопки в нижней части окна.
Важный совет! Утилиту системной конфигурации также можно включить нажатием комбинации клавиш «Win+R» (выполнить). В появившемся окне введите название «msconfig» и кликните «ОК».
Полезное видео: Отключение защиты в Windows 7
Проверка настройки клиента защиты доступа к сети
Выполните эту процедуру для проверки настройки клиентских компьютеров, поддерживающих защиту доступа к сети, на использование методов принудительной защиты доступа к сети с помощью IPsec. Компьютер, поддерживающий защиту доступа к сети, является компьютером с установленными компонентами NAP, который может проверить состояние работоспособности путем отправки состояния работоспособности для оценки на сервер политики сети. Дополнительные сведения о защите доступа к сети см. на веб-сайте
https://go.microsoft.com/fwlink/?LinkId=94393 .
Минимальным требованием для выполнения этой процедуры является членство в группе Domain Admins или наличие эквивалентных прав. Дополнительные сведения об использовании подходящих учетных записей и членств в группах можно получить по адресу
https://go.microsoft.com/fwlink/?LinkId=83477 .
Проверка клиентских компонентов NAP
Компоненты NAP состоят из службы агента NAP, одного или нескольких клиентов принудительной защиты NAP и хотя бы одного агента работоспособности системы (SHA). Могут требоваться и другие службы, если они поддерживают установленный агент работоспособности системы. В совокупности эти компоненты служат для постоянного отслеживания состояния работоспособности клиентского компьютера NAP и предоставления этого состояния на серверы NAP для оценки.
Агент защиты доступа к сети
Служба агента NAP служит для сбора сведений о работоспособности на клиентском компьютере и управления ими. Также агент NAP обрабатывает состояния работоспособности, полученные от установленных агентов работоспособности системы, и создает отчеты о работоспособности клиента для клиентов принудительной защиты. Агент NAP должен функционировать, чтобы клиентские компьютеры могли запрашивать или получать сертификаты работоспособности.
 | Проверка запуска службы агента NAP |
Нажмите кнопку Пуск, выберите пункты Панель управления, затем Система и ее обслуживание, щелкните Администрирование, затем дважды щелкните Службы
Под заголовком Имя в списке служб дважды щелкните Агент защиты сетевого доступа.
Убедитесь, что состояние Служба указано как Запущено, а Тип запуска выбран Автоматически.
Если служба не запущена, выберите Автоматически рядом с полем Тип запуска, затем нажмите кнопку Пуск.
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства: Защита сетевого доступа (NAP).
Закройте консоль служб.
Перезапуск службы агента NAP приведет к автоматической повторной инициализации агентов работоспособности системы и попытке получить новый сертификат работоспособности. Это может оказаться полезным при решении вопросов, связанных с NAP.
Клиент принудительной защиты доступа к сети с помощью IPsec
Клиент принудительной защиты доступа к сети с помощью NAP должен быть установлен и включен на клиентских компьютерах. Клиент принудительной защиты NAP запрашивает доступ к сети и отправляет состояние работоспособности клиентского компьютера другим компонентам клиентской архитектуры NAP. Клиент принудительной защиты доступа к сети с помощью IPsec ограничивает доступ к сетям, защищенным с помощью IPsec, путем связи с хранилищем сертификатов на клиентском компьютере.
| Проверка инициализации клиента принудительной защиты NAP с помощью IPsec |
Нажмите кнопку Пуск, выберите Все программы, Стандартные и Командная строка.
В командной строке введите команду netsh nap client show state и нажмите клавишу ВВОД. Будет отображено состояние NAP клиентского компьютера.
В выходных данных команды в разделе Состояние клиента системы ограничений проверьте, что состояние параметра Сторона, использующая IPsec равно Инициализировано = Да.
Проверка конфигурации клиента IPsec
Параметры клиентов NAP должны быть настроены таким образом, чтобы эти клиенты могли связываться с компонентами сервера NAP. Можно настроить эти параметры с помощью групповой политики, консоли конфигурации клиентов NAP или командной строки. Для метода принудительной защиты с помощью IPsec параметры клиента NAP содержат политику запросов и группы доверенных серверов.
Политика запросов
Нет необходимости изменять параметры политики запросов по умолчанию на клиентских компьютерах NAP. Если эти параметры изменены, важно убедиться в том, что такие же параметры включены на серверах NAP. По умолчанию клиентский компьютер, поддерживающий NAP, инициирует процесс согласования с сервером NAP, используя обоюдно приемлемые механизмы защиты по умолчанию для шифрования передаваемых данных. Для политики запросов рекомендуется использовать параметры по умолчанию.
| Проверка параметров политики запросов |
Нажмите кнопку Пуск, выберите Все программы, Стандартные и Командная строка.
Если параметры клиента NAP развертываются с помощью групповой политики, в командной строке введите netsh nap client show group, а затем нажмите клавишу ВВОД. Если параметры клиента NAP развертываются с помощью локальной политики, в командной строке введите netsh nap client show config, а затем нажмите клавишу ВВОД. На клиентских компьютерах будут отображены параметры конфигурации NAP групповой и локальной политики.
В выходных данных команды проверьте, что параметры Поставщик службы криптографии (CSP) и Алгоритм хеширования соответствуют параметрам, настроенным в HRA. По умолчанию используется Поставщик службы криптографии Microsoft RSA SChannel, длина_ключа = 2048. Используемый по умолчанию алгоритм хэширования — sha1RSA (1.3.14.3.2.29).
Группы доверенных серверов
Группы доверенных серверов настроены в параметрах регистрации работоспособности клиента, чтобы клиентские компьютеры NAP могли связываться с веб-сайтами, используемыми центром регистрации работоспособности для обработки запросов на сертификаты работоспособности. Если группы доверенных серверов не настроены или настроены неправильно, клиентские компьютеры NAP не смогут получить сертификаты работоспособности.
| Проверка конфигурации групп доверенных серверов |
Нажмите кнопку Пуск, выберите Все программы, Стандартные и Командная строка.
Если параметры клиента NAP развертываются с помощью групповой политики, в командной строке введите netsh nap client show group, а затем нажмите клавишу ВВОД. Если параметры клиента NAP развертываются с помощью локальной политики, в командной строке введите netsh nap client show config, а затем нажмите клавишу ВВОД. На клиентских компьютерах будут отображены параметры конфигурации NAP групповой и локальной политики.
В выходных данных команды в разделе Конфигурация группы доверенных серверов проверьте правильность конфигурации для записей рядом с Порядок обработки, Группа, Требуется префикс Https и URL-адрес.
Клиентский компьютер NAP попытается получить сертификат работоспособности с первого URL-адреса во всех настроенных группах доверенных серверов, если только сервер не был отмечен как недоступный. Дополнительные сведения см. в разделах Проверка конфигурации IIS и Общее представление о требованиях к проверке подлинности для центра регистрации работоспособности.
Просмотр событий клиента NAP
Просмотр сведений, содержащихся в событиях клиента NAP, может способствовать решению вопросов и устранению неполадок. Также эти сведения могут способствовать пониманию функционирования клиента NAP.
| Чтобы просмотреть события клиента NAP в средстве просмотра событий |
В меню Пуск перейдите к пункту Все программы, выберите Стандартные и щелкните Выполнить.
Введите eventvwr.msc и нажмите клавишу ВВОД.
В дереве слева перейдите к пункту Просмотр событий (локальных)\Журналы приложений и служб\Microsoft\Windows\Защита сетевого доступа\Работает.
В центральной области выберите событие.
По умолчанию отображается вкладка Общие. Откройте вкладку Сведения, чтобы просмотреть дополнительные сведения.
Также можно щелкнуть правой кнопкой мыши событие и выбрать Свойства события, чтобы открыть новое окно просмотра событий.
Включение защиты сети Turn on network protection
Добро пожаловать в Microsoft Defender для конечной точки— новое имя для Advanced Threat Protection в защитнике Microsoft. Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Ознакомьтесь с дополнительными сведениями об этой и других обновлениях. Read more about this and other updates here. Мы будем обновлять названия в продуктах и в документах в ближайшем будущем. We’ll be updating names in products and in the docs in the near future.
Относится к: Applies to:
Защита сети помогает запретить сотрудникам использовать любые приложения для доступа к опасным доменам, которые могут содержать phishing-мошенничество, эксплойты и другие вредоносные материалы в Интернете. Network protection helps to prevent employees from using any application to access dangerous domains that may host phishing scams, exploits, and other malicious content on the internet. Вы можете проводить аудит защиты сети в тестовой среде, чтобы просмотреть, какие приложения были заблокированы до включения. You can audit network protection in a test environment to view which apps would be blocked before you enable it.
Проверка того, включена ли защита сети Check if network protection is enabled
Убедитесь, что защита сети включена на локальном устройстве с помощью редактора реестра. Check if network protection has been enabled on a local device by using Registry editor.
Нажмите кнопку » Пуск » на панели задач и введите regedit , чтобы открыть редактор реестра. Select the Start button in the task bar and type regedit to open Registry editor
Выберите HKEY_LOCAL_MACHINE в меню сбоку Choose HKEY_LOCAL_MACHINE from the side menu
Навигация по вложенным меню для политик программного обеспечения > Policies > Microsoft > защитником > Windows > Network Protection Defender защитника Microsoft Windows Navigate through the nested menus to SOFTWARE > Policies > Microsoft > Windows Defender > Windows Defender Exploit Guard > Network Protection
Нажмите кнопку EnableNetworkProtection , чтобы увидеть текущее состояние защиты сети на устройстве. Select EnableNetworkProtection to see the current state of network protection on the device
- 0 или выкл . 0, or Off
- 1 или вкл . 1, or On
- 2 или режим аудита 2, or Audit mode
Включение сетевой защиты Enable network protection
Включите защиту сети с помощью одного из следующих способов: Enable network protection by using any of these methods:
PowerShell PowerShell
Введите PowerShell в меню «Пуск», щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора . Type powershell in the Start menu, right-click Windows PowerShell and select Run as administrator
Введите следующий командлет: Enter the following cmdlet:
Необязательно: включите функцию в режиме аудита с помощью следующего командлета: Optional: Enable the feature in audit mode using the following cmdlet:
Используйте Disabled вместо AuditMode или Enabled Отключение функции. Use Disabled instead of AuditMode or Enabled to turn off the feature.
Управление мобильными устройствами (MDM) Mobile device management (MDM)
Используйте поставщик услуг конфигурации /Vendor/MSFT/Policy/config/Defender/EnableNetworkProtection , чтобы включить или отключить защиту сети или включить режим аудита. Use the ./Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection configuration service provider (CSP) to enable or disable network protection or enable audit mode.
Microsoft Endpoint Manager (прежнее название — Intune) Microsoft Endpoint Manager (formerly Intune)
Войдите в центр администрирования Microsoft Endpoint Manager (https://endpoint.microsoft.com) Sign into the Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com)
В разделе «параметры конфигурации» в потоке профилей перейдите в раздел защитник эксплойтов Microsoft Defender > Network фильтрациясети > Защита от > включения и аудита Under «Configuration Settings» in the profile flow, go to Microsoft Defender Exploit Guard > Network filtering > Network protection > Enable or Audit only
Групповая политика Group Policy
Чтобы включить защиту сети на компьютерах, подключенных к домену или на отдельном компьютере, выполните указанные ниже действия. Use the following procedure to enable network protection on domain-joined computers or on a standalone computer.
На отдельном компьютере выберите Пуск , затем введите и щелкните изменить групповую политику. On a standalone computer, go to Start and then type and select Edit group policy.
На компьютере управления групповыми политиками, подключенном к домену откройте консоль управления групповымиполитиками, щелкните правой кнопкой мыши объект групповой политики, который вы хотите настроить, и выберите команду изменить. On a domain-joined Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and select Edit.
В редакторе управления групповыми политикамиперейдите к разделу Конфигурация компьютера и выберите пункт Административные шаблоны. In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.
Разверните дерево компоненты Windows, в которых > Microsoft Defender Antivirus > Windows Defender Exploit Guard > включена защита отзащитника Windows Defender Antivirus. Expand the tree to Windows components > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Network protection.
В более ранних версиях Windows путь групповой политики может называться «Windows Defender Antivirus», а не «защитник Microsoft Defender». On older versions of Windows, the group policy path may say «Windows Defender Antivirus» instead of «Microsoft Defender Antivirus.»
- Дважды щелкните параметр Предотвращения доступа пользователей и приложений к опасным веб-сайтам и установите для него значение Включено. Double-click the Prevent users and apps from accessing dangerous websites setting and set the option to Enabled. В разделе «Параметры» необходимо выбрать один из следующих вариантов: In the options section, you must specify one of the following options:
- Блокировать -пользователи не могут получать доступ к ВРЕДОНОСНЫМ IP-адресам и доменам Block — Users can’t access malicious IP addresses and domains
- Disable (по умолчанию) — функция защиты сети не работает. Disable (Default) — The Network protection feature won’t work. Пользователи не будут блокировать доступ к злонамеренным доменам Users won’t be blocked from accessing malicious domains
- Режим аудита : Если пользователь посещает ВРЕДОНОСНЫЙ IP-адрес или домен, событие не записывается в журнал событий Windows. Audit Mode — If a user visits a malicious IP address or domain, an event won’t be recorded in the Windows event log. Однако пользователь не сможет посетить этот адрес. However, the user won’t be blocked from visiting the address.
Чтобы полностью включить защиту сети, необходимо настроить параметр Групповая политика на включить , а также выбрать команду блокировать в раскрывающемся меню Параметры. To fully enable network protection, you must set the Group Policy option to Enabled and also select Block in the options drop-down menu.
Убедитесь, что на локальном компьютере включена защита сети с помощью редактора реестра: Confirm network protection is enabled on a local computer by using Registry editor:
Нажмите кнопку Пуск и введите regedit , чтобы открыть редактор реестра. Select Start and type regedit to open Registry Editor.
Перейдите в раздел HKEY_LOCAL_MACHINE \Software\policies\microsoft\windows Defender\Windows защитник Guard\Network защита Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection
Выберите EnableNetworkProtection и подтвердите значение: Select EnableNetworkProtection and confirm the value: