Ustawienia firewalla

Ustawienia firewalla wymuszają reguły firewalla Windows Defender Firewall, które blokują nieautoryzowany dostęp do sieci, co zmniejsza ryzyko naruszenia bezpieczeństwa sieciowego we wszystkich punktach końcowych. Ta zasada obsługuje system Windows 10 w wersji 1709 i nowszych.

Czym jest Windows Defender Firewall?

Windows Defender Firewall to aplikacja zabezpieczająca, która filtruje dane sieciowe przesyłane do i z systemu Windows i blokuje szkodliwe połączenia oraz programy, które inicjują te połączenia.

Jak działa firewall

Firewall używa predefiniowanego zestawu reguł dla ruchu wychodzącego i przychodzącego. Można dodać program do listy dozwolonych programów, które mogą nawiązywać połączenia poprzez firewall. Przepływ pracy zasady jest następujący:
  1. Zaznacz pole wyboru Skonfiguruj ustawienia firewalla.
  2. Skonfiguruj ustawienia Globalne dla zasady firewalla.
  3. Skonfiguruj sposób działania firewalla, gdy punkty końcowe są połączone z domeną lub siecią prywatną albo publiczną.
  4. Skonfiguruj niestandardowe reguły firewalla dla sieci, która została wybrana w zasadzie.

Konfigurowanie ustawień firewalla

Konfiguracja zapory firewall jest kolekcją profili lub reguł. Te profile lub reguły można zastosować do komputera w celu określenia uprawnień dla wszystkich połączeń przychodzących lub wychodzących dla określonych portów. System Windows używa profili do łączenia się z Internetem lub siecią lokalną. System Windows korzysta z następujących profili:
  • Domena: profil domenowy ma zastosowanie do sieci, w których host może uwierzytelnić się w kontrolerze domeny.
  • Prywatny: profil prywatny jest przypisanym do użytkownika profilem, który jest używany do wyznaczania sieci prywatnych lub domowych.
  • Public: Profil publiczny (profil domyślny) jest używany do wyznaczania sieci publicznych, takich jak hotspoty wifi w kawiarniach, na lotniskach i innych lokalizacjach.

W poniższej tabeli opisano ustawienia firewalla, które można skonfigurować dla urządzeń z systemem Windows 10+.

Tabela 1. Ustawienia firewalla
Ustawienie zasady Opis Obsługiwane urządzenia
Konfigurowanie ustawień firewalla Jeśli ta opcja jest włączona, można skonfigurować ustawienia globalne, ustawienia sieciowe i niestandardowe reguły firewalla w ruchu sieciowym do i z punktów końcowych Windows. Windows 10+ Professional, Education, Enterprise
Ustawienia globalne
Wyłącz protokół FTP Jeśli ta opcja jest włączona, określa sposób obsługi ruchu FTP przez firewall.

Po wybraniu opcji Nie, firewall będzie blokować cały ruch FTP. Jeśli zostanie wybrana opcja Tak, firewall nie będzie sprawdzać ruchu FTP.

 Windows 10+ Professional, Education, Enterprise
Czas bezczynności przed usunięciem powiązania bezpieczeństwa Określa maksymalny czas w sekundach oczekiwania urządzenia przed usunięciem bezczynnych powiązań bezpieczeństwa. Zakres wynosi od 300 do 3600 sekund.

Powiązania bezpieczeństwa są umową między dwoma równorzędnymi hostami lub punktami końcowymi. Umowy te zawierają wszystkie informacje wymagane do bezpiecznego wymiany danych.

 Windows 10+ Professional, Education, Enterprise
Kodowanie klucza wspólnego Wybierz typ kodowania używanego dla wstępnego klucza wspólnego.

Klucz wspólny (PSK) jest kluczem tajnym, który jest współużytkowany przez dwa urządzenia (na przykład klient i serwer), które są połączone za pomocą bezpiecznego kanału. Klucz PSK jest używany przez serwer do uwierzytelniania klienta. Klucz PSK może być używane w środowiskach, w których nie jest możliwe używanie certyfikatów klienta do wzajemnego uwierzytelniania.

 Windows 10+ Professional, Education, Enterprise
Wyjątki IPSec Wybierz ruch, który jest wyłączony z obsługi IPsec.

IPsec jest środowiskiem otwartych standardów zapewniających prywatną, bezpieczną komunikację w sieciach IP (Internet Protocol) dzięki korzystaniu z usług zabezpieczeń kryptograficznych. Protokół IPsec obsługuje uwierzytelnianie między węzłami sieci, uwierzytelnianie źródła pochodzenia danych, integralność danych, poufność danych (szyfrowanie) i ochronę przed atakiem powtórzeniowym. IPSec jest zastawem protokołów zabezpieczeń umożliwiającym bezpieczne przesyłanie pakietów IP przez Internet. Protokół IPsec jest obowiązkowy dla wszystkich implementacji protokołu IPv6 i jest opcjonalny dla IPv4.

  • Wyjątek dla ICMP IPv6 wykrywania sąsiada
  • Wyjątek dla ICMP
  • Wyjątek dla ICMP IPv6 wykrywania routera
  • Wyjątek zarówno dla ruchu DHCP IPv4, jak i IPv6
 Windows 10+ Professional, Education, Enterprise
Weryfikacja listy odwołań certyfikatów Wybierz sposób wymuszania weryfikacji listy odwołań certyfikatów.
  • Wyłącz weryfikację CRL (wartość domyślna): wyłącza sprawdzanie listy CRL.
  • Niepowodzenie weryfikacji listy CRL tylko w przypadku unieważnienia certyfikatu: próba sprawdzenia listy CRL i sprawdzenie poprawności certyfikatu nie powiedzie się tylko wtedy, gdy certyfikat został unieważniony. Inne błędy, które mogły zostać napotkane podczas sprawdzania listy CRL (takie jak nieosiągalny adres URL odwołania), nie powodują niepowodzenia sprawdzania poprawności certyfikatu.
  • Niepowodzenie weryfikacji CRL po napotkaniu dowolnego błędu: wymagane jest sprawdzenie listy CRL, a sprawdzenie poprawności certyfikatu nie powiedzie się, jeśli podczas przetwarzania listy CRL wystąpi jakikolwiek błąd.
 Windows 10+ Professional, Education, Enterprise
Włącz oportunistyczne dopasowanie zestawu uwierzytelniania dla modułu obsługi kluczy Określa sposób ignorowania pakietów uwierzytelniania przez moduły kluczy. Włączenie tej opcji wymusza ignorowanie tylko tych pakietów uwierzytelniania, które nie są obsługiwane. Wyłączenie tej opcji wymusza ignorowanie całego zestawu uwierzytelniania, jeśli nie obsługują on wszystkich pakietów uwierzytelniania w zestawie. Windows 10+ Professional, Education, Enterprise
Umieszczanie pakietów w kolejce Wybiera sposób działania kolejkowania pakietów na urządzeniu. To ustawienie pozwala na zapewnienie właściwego skalowania.

Ta wartość określa, w jaki sposób skalowanie oprogramowania po stronie odbierającej ma obsługiwać komunikację zaszyfrowaną i nieszyfrowaną dla scenariusza z bramą tunelu IPsec. Użycie tej opcji powoduje zachowanie kolejności pakietów. Wartość tej opcji musi być liczbą całkowitą i jest kombinacją opcji. Poprawne wartości:

  • Wyłączono kolejkowanie: wszystkie kolejkowanie jest wyłączone.
  • Kolejkuj przychodzące zaszyfrowane pakiety: przychodzące zaszyfrowane pakiety są umieszczane w kolejce.
  • Kolejka tylko po zaszyfrowaniu pakietów: pakiety są umieszczane w kolejce po wykonaniu deszyfrowania.
 Windows 10+ Professional, Education, Enterprise
  • Skonfiguruj sieć domeny (WorkPlace)
  • Skonfiguruj sieć prywatną (niewykrywalną)
  • Skonfiguruj sieć publiczną (wykrywalną)
  • Włącz tryb stealth: jeśli ta opcja jest włączona, urządzenie jest ustawione w trybie stealth.

    Tryb stealth pozwala zapobiec zdobyciu przez złośliwych użytkowników informacji na temat urządzeń i usług sieciowych. Gdy ta opcja jest włączona, tryb stealth blokuje wychodzące komunikaty nieosiągalności ICMP i komunikaty resetowania TCP dla portów bez aktywnego procesu nasłuchującego.

  • Wyłącz wyjątki dla pakietów zabezpieczonych przez IPsec używając trybu stealth: jeśli ta opcja jest włączona, określa ona sposób obsługi przez firewall niezamówionego ruchu zabezpieczanego przez IPsec.

    Jeśli ta opcja nie jest włączona, firewall zezwala na niezamówiony ruch sieciowy zabezpieczony przez protokół IPsec.

    To ustawienie ma zastosowanie tylko po włączeniu opcji Tryb stealth.

  • Włącz ochronę: jeśli ta opcja jest włączona i firewall jest włączony, serwer musi zablokować cały ruch przychodzący bez względu na inne ustawienia zasady. Wartością domyślną jest brak zaznaczenia pola wyboru.
  • Wyłącz odpowiedzi unicast na rozgłaszanie multicast: jeśli ta opcja jest włączona, określa odpowiedź na ruch sieciowy typu multicast lub broadcast.

    Jeśli ta opcja zostanie wyłączona, firewall będzie blokować wszystkie odpowiedzi na ruch sieciowy typu multicast lub broadcast.

  • Wyłącz powiadomienia przychodzące: jeśli ta opcja jest włączona, ta opcja ustawia zachowanie powiadomień dla firewalla. Firewall może powiadamiać użytkowników o zablokowaniu nowej aplikacji.

    Jeśli ta opcja jest wyłączona (pole wyboru jest jasne), firewall nie będzie wysyłać żadnych powiadomień.

  • Blokuj połączenia wychodzące: jeśli ta opcja jest włączona, firewall blokuje połączenia wychodzące. Firewall blokuje cały ruch wychodzący, o ile nie określono inaczej.
  • Blokuj połączenia przychodzące: jeśli ta opcja jest włączona, firewall blokuje połączenia przychodzące. Firewall blokuje cały ruch przychodzący, o ile nie określono inaczej.
  • Wymuś reguły autoryzowanego firewalla aplikacji ze sklepu lokalnego: jeśli wybrano opcję Tak, zostaną zastosowane autoryzowane reguły firewalla aplikacji w lokalnym sklepie, ponieważ są one rozpoznawane i wymuszane przez firewall.
  • Wymuś reguły firewalla Defender ze sklepu lokalnego: jeśli wybrano opcję Tak, reguły zapory firewall w lokalnym sklepie będą stosowane, ponieważ są one rozpoznawane i wymuszane przez firewall.
  • Wymuś reguły firewalla Defender dla portu globalnego ze sklepu lokalnego: jeśli wybrano opcję Tak, zostaną zastosowane globalne reguły firewalla portu w lokalnym sklepie, ponieważ są one rozpoznawane i wymuszane przez zaporę firewall.
  • Wymuś reguły IPsec ze sklepu lokalnego: jeśli wybrano opcję Tak, zostaną zastosowane reguły zabezpieczeń połączenia z lokalnego sklepu, niezależnie od wersji schematu zabezpieczeń lub reguł zabezpieczeń połączenia.
 Windows 10+ Professional, Education, Enterprise
Konfigurowanie reguł firewalla Lista reguł sterujących ruchem przy wykorzystaniu firewalla Windows. Aby dodać regułę, kliknij ikonę Dodaj (+) znajdującą się w prawym rogu tej sekcji.
  • Nazwa reguły: unikalny alfanumeryczny identyfikator dla reguły. Nazwa reguły nie może zawierać ukośnika (/).
  • Opis reguły: opis reguły.
  • Kierunek ruchu: reguła będzie włączona na podstawie kierunku ruchu.
    • Wychodzące (domyślne): reguła ma zastosowanie do ruchu wychodzącego.
    • Przychodzące: reguła ma zastosowanie do ruchu przychodzącego.
  • Blokuj ruch: reguła blokuje ruch w zależności od opcji używanej w ustawieniu Kierunek ruchu. Domyślnie ta opcja zezwala na cały ruch.
  • Typy sieci: typ sieci (domena, prywatna lub publiczna), który ma zastosowanie do reguły. Jeśli nie zostanie wybrany żaden typ sieci, domyślnym typem są wszystkie typy sieci.
  • Konfiguracje aplikacji: reguły sterujące połączeniami dla aplikacji, programu lub usługi.
    • Wszystkie (wartość domyślna): reguła ma zastosowanie do wszystkich aplikacji, programów lub usług.
    • Nazwa rodziny pakietu: unikalna nazwa aplikacji Microsoft Store. Więcej informacji na temat uzyskiwania nazwy rodziny pakietów zawiera sekcja Przykłady uzyskiwania identyfikatorów aplikacji Windows ręcznie.
    • Ścieżka pliku: pełna ścieżka do pliku aplikacji. Na przykład: C:\Windows\System\Notepad.exe
    • Usługa Windows: nazwa usługi, która jest używana, jeśli to usługa, a nie aplikacja, wysyła lub odbiera dane.
  • Konfiguracja adresu IP - adres lokalny: lokalny adres IP, który ma zastosowanie do reguły.
    • Dowolny adres
    • Konkretne adresy: lista adresów lokalnych oddzielonych przecinkami, które są objęte regułą.
      • Poprawny adres IPv6.
      • Zakres adresów IPv4 w formacie "adres początkowy-adres końcowy" bez spacji. Przykład: 24.194.231.8-24.194.231.12
      • Zakres adresów IPv6 w formacie "adres początkowy-adres końcowy" bez spacji. Przykład: 2001:0DB8:ABCD:0012:0000:0000:0000:0000-2001:0DB8:ABCD:0012:FFFF:FFFF:FFFF:FFF
  • Konfiguracja adresu IP - adres zdalny: zdalny adres IP, który ma zastosowanie do reguły.
    • Dowolny adres
    • Konkretne adresy: lista adresów zdalnych oddzielonych przecinkami, które są objęte regułą.
      • "Defaultgateway"
      • "DHCP"
      • "DNS"
      • "WINS"
      • "Intranet" (ten token jest obsługiwany w systemie Windows 10 w wersji 1809 i nowszych.)
      • "RmtIntranet" (ten token jest obsługiwany w systemie Windows 10 w wersji 1809 lub nowszej.)
      • "Internet" (ten token jest obsługiwany w systemie Windows 10 w wersji 1809 lub nowszej.)
      • "Ply2Renders" (ten token jest obsługiwany w systemie Windows 10 w wersji 1809 lub nowszej.)
      • "LocalSubnet" wskazuje dowolny adres lokalny w lokalnej podsieci. W tym tokenie nie jest rozróżniana wielkość liter.
      • Poprawny adres IPv6.
      • Zakres adresów IPv4 w formacie "adres początkowy-adres końcowy" bez spacji. Przykład: 24.194.231.8-24.194.231.12
      • Zakres adresów IPv6 w formacie "adres początkowy-adres końcowy" bez spacji. Przykład: 2001:0DB8:ABCD:0012:0000:0000:0000:0000-2001:0DB8:ABCD:0012:FFFF:FFFF:FFFF:FFF
  • Protokoły i porty: lokalne i zdalne protokoły lub porty, które mają zastosowanie do reguły.
    • Dowolny (wartość domyślna): każdy port lub protokół ma zastosowanie do reguły.
    • TCP: (Transmission Control Protocol) - protokół komunikacyjny używany w sieci Internet i w dowolnej sieci, która jest zgodna ze standardami IETF (Internet Engineering Task Force). TCP to niezawodny protokół przesyłania danych między hostami w sieciach komunikacyjnych z przełączaniem pakietów oraz w połączonych systemach takich sieci.
      • Wszystkie porty
      • Konkretne porty: rozdzielana przecinkami lista zakresów portów.
    • UDP: (User Datagram Protocol) - protokół internetowy, który zapewnia niezawodną i bezpołączeniową usługę datagramów. Umożliwia on aplikacji lub procesowi działającej na jednym komputerze wysłanie datagramu do aplikacji na innym komputerze lub procesie.
      • Wszystkie porty
      • Konkretne porty: rozdzielana przecinkami lista zakresów portów.
    • Port niestandardowy: lista numerów portów oddzielonych przecinkami. Poprawne są wartości z zakresu od 0 do 255.
  • Typy interfejsów: typ połączenia sieciowego, który ma zastosowanie do reguły.
    • Zdalny dostęp
    • Bezprzewodowe
    • Sieć LAN
  • Autoryzowani użytkownicy: lista autoryzowanych użytkowników lokalnych dla tej reguły. Lista jest łańcuchem w formacie SDDL (Security Descriptor Definition Language). Więcej informacji na temat pliku SDDL znajduje się pod adresem https://docs.microsoft.com/en-us/windows/win32/secauthz/security-descriptor-string-format.
 Windows 10+ Professional, Education, Enterprise