главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Настольные Windows-программы будут работать на смартфонах
  • Windows 10 Insider Preview: вышла сборка 14986
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Принимая во внимание тот факт, что одной из обязанностей персонального брандмауэра является блокирование потенциально опасных входящих подключений к вашему компьютеру, следует сказать, что у него есть и другая обязанность, а именно блокирование потенциально опасных исходящих подключений. Например, если хакер нашел путь проникновения в вашу систему, и пытается переправить с вашего компьютера на свой какие-либо важные файлы, то хороший персональный брандмауэр должен приостановить большинство установленных исходящих соединений до тех пор, пока не получит от пользователя соответствующего разрешения (одной из проблем при таком блокировании является то, что пользователь редко получает достаточно информации, чтобы принять правильное решение).

    Такая проблема была у брандмауэра, который Microsoft предлагала в Windows XP Service Pack 2, который был довольно бесполезен, так как мог блокировать только входящие соединения. Когда вышел этот брандмауэр, мы указали на то, что наличие такой защиты хуже, чем отсутствие брандмауэра вообще. Ведь если у вас стоит защита, которая не работает, то вы ложно полагаете, что ваш компьютер защищен.

    По мере того, как уходили в прошлое старые брандмауэры от Microsoft, мы надеялись, что эта проблема будет решена в Windows Vista. Согласно Роберту Вамози (Robert Vamosi) из CNET, наши надежды, похоже, не оправдались. Вамози пишет:

    «Microsoft говорит, что в Windows Vista ее новый брандмауэр стал двусторонним, но при более близком знакомстве с ним становится понятно, что это – не более чем очередной вводящий в заблуждение маркетинговый ход. В Windows Vista стоит такой же односторонний брандмауэр».

    Вамози описал, каким образом персональный брандмауэр Vista осуществляет блокирование исходящих подключений.

    Большинство персональных (и сетевых) брандмауэров разрешают установить исходящее соединение только в том случае, если в настройках брандмауэра было установлено правило, позволяющее это сделать. И это хорошо. С того момента, как такой брандмауэр установлен, любое действие запрещается до тех пор, пока пользователь (или системный администратор) не даст соответствующее разрешение. Первое время после установки большинства персональных брандмауэров они запускают мастер установки правил каждый раз, когда какое-то приложение на их ПК пытается соединиться с Интернет. В большинстве случаев, такой мастер предлагает вам достаточно легко выбрать один из четырех вариантов действий:

     • блокировать данное исходящее соединение (определенное приложение обращается к определенному сетевому порту) только в этот раз;
    •  блокировать данное исходящее соединение постоянно;
    •  позволить установить данное исходящее соединение только в этот раз;
    •  позволять устанавливать данное исходящее соединение постоянно.

    Но брандмауэр Windows Vista работает по другому принципу. Позволяется постоянно устанавливать любое исходящее соединение до тех пор, пока не будет создано правило, по которому определенное соединение нужно блокировать. Несмотря на то, что Вамози высказывал свое беспокойство на счет надежности брандмауэра Vista еще до ее выпуска, Microsoft продолжала использовать «полузащищенный» вариант. По словам Вамози, Microsoft объяснила такое свое решение возможностью возникновения ситуации, когда при первом запуске Vista, стало бы выскакивать множество предложений от мастера управления, и неопытные пользователи просто перестали бы уделять должное внимание информации, содержащейся в них. Вамози, как и мы, с этим не согласен. При поступлении предложения о блокировании исходящего соединения, которое появляется в виде всплывающего окна, конечный пользователь или системный администратор, должны проделывать серию последовательных и обдуманных шагов, чтобы блокировать такое соединение.

    Вамози обращает внимание на трудность последовательного прохождения этих шагов, потому и мы попробовали сделать это и создали серию иллюстрации, так что вы можете проследить наши шаги. Но сначала, вот то, что сказал на этот счет Вамози:

    «Хорошо прописывать исключения, особенно, когда вы являетесь домашним пользователем, даже не представляющим как блокировать соединения и надо ли вообще это делать. Домашние пользователи вновь заплатили свою цену за использование на своих ПК операционной системы, разработанной для корпоративного использования. Если вы не IT-администратор, то у вас вряд ли получится правильно настроить параметры брандмауэра».

    Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista!


    Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista!


    Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista!
    Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista!


    Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista! Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista!


    Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista!


    На скриншотах представлено добавление нового правила блокирования исходящего сообщения и другие распространенные пользовательские действия. Данная галерея показывает все наши дальнейшие манипуляции в виде изображений. Сначала, после того, как был установлен Firefox, ничто не препятствовало его доступу в сеть (это подтверждает тот факт, что по умолчанию для приложений разрешено устанавливать исходящее соединение). Для того, чтобы отказать Firefox в доступе в Интернет, мы сделали, на наш взгляд наиболее очевидное действие. Но, поскольку вы столкнетесь с различными диалогами конфигурации брандмауэра, то вам вряд ли поможет ваша интуиция, даже наоборот, я бы сказал, что эти диалоговые окна «антиинтуитивны». Например, когда вы будете выполнять довольно очевидные действия, чтобы настроить брандмауэр, вы не увидите никаких упоминаний о том, что есть разница между входящими и исходящими соединениями. Пользователи Windows Vista столкнуться с такими терминами, как «exceptions» и «ports», и их вдвойне запутает следующее объяснение: «Исключения определяют, как программы могут устанавливать соединение через Windows Firewall. Добавьте в исключения программу или порт, для того, чтобы разрешить им устанавливать соединение через брандмауэр».

    Не предоставляется никакой справочной информации о исходящих и входящих подключениях. Фраза «программа соединяется через Windows Firewall» должна означать для нас исходящее подключение? Это не похоже на информацию о том, «как отдельные компьютеры или сайты связываются через брандмауэр Windows».

    Таким образом, в противопоставление тому, что говорил Вамози, то, что прозвучало, как разрешение приложению установить связь через брандмауэр Windows Vista, мы бы перевели как сообщение о том, что программа будет добавлена к списку приложений, которым разрешено соединение. А как еще вы могли бы интерпретировать вышеупомянутый язык?

    Но, поскольку мы уже сказали вам, что, сразу после инсталляции Firefox, ему предоставили полную свободу подключений к Интернет, то данный факт опровергал правильность нашей интерпретации. Нашим первым предположением было то, что данный текст имеет обратный смысл: возможно, этот список исключений перечисляет приложения, которые должны быть блокированы для соединения. Но добавление Firefox к этому списку не принесло никаких результатов. Для чего же тогда этот список? После недолгих размышлений мы вернулись к списку исключений, один раз кликнули по единственному проверенному пункту (Core Networking), и нажали на кнопку «Properties»/Свойства, после чего появилось следующее окно:

    Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista!


    Как вы видите, оно содержит ссылку "How do I view and edit all properties?"/Как я могу просмотреть и изменить все настройки. Эврика! Здесь мы можем узнать какую конфигурацию имеет брандмауэр Windows, чтобы блокировать входящие или исходящие соединения с компонентами Core Networking.

    Как вы можете видеть вышепредставленной галерее скриншотов, мы перешли на список часто задаваемых вопросов (FAQ), и, что еще хуже, среди них не было вопроса, ссылку на который мы нажимали. Среди этих вопросов мы нашли один, который касался запутанного языка в UI, с которым мы столкнулись ранее. Там спрашивалось «Что может делать программа, у которой есть разрешение в брандмауэре?». Мы перешли по этой ссылке, и вот какой там был ответ:

    «Разрешение работы программы через межсетевую защиту (иногда это называю разблокированием) означает, что когда Вы создаете исключение, это дает возможность программе как отправлять, так и получать информацию через брандмауэр. Вы можете также разрешить программе работать подобным образом, открыв один или несколько портов».

    К сожалению, этот ответ FAQ, как и наше небольшое испытание с Firefox, оказался по большому счету бесполезен.

    Есть способ настроить блокирование исходящих соединений в брандмауэре Windows Vista! Если вы пройдете по следующему пути, Control Panel > System and Maintenance > Administrative Tools > Windows Firewall with Advanced Security, то вы увидите текущие списки правил входящих/исходящих и только исходящих соединений.

    Когда брандмауэр не является брандмауэром? Когда это встроенный брандмауэр Windows Vista!


    Кстати, правило для Firefox, которое мы создали ранее, появилось у нас в списке входящих подключений. Теперь то мы знаем, что означало вышеупомянутое пояснение брандмауэра.

    Итог (Это следует прочесть разработчикам Windows Firewall)

    Есть три главных проблемы.

    • Первая, это то, о чем говорил Вамози. Приложения должны быть блокированы по умолчанию.

    • Вторая, для пользователей должен быть создан более понятный мастер установки правил на входящие и исходящие соединения (или, по крайней мере, прямая ссылка на rule authoring tool на Панели управления).

    • Третья. Интерфейс окна установки правила предназначен скорее для ученых, чем для обычных пользователей. Например, когда мы нажали обзор для выбора приложения, которое собираемся заблокировать, открылась папка System32, вместо того, чтобы просто предоставить нам список приложений.

    В итоге, мы опять пришли к тому, что брандмауэр Windows это еще хуже, чем отсутствие защиты вообще, так как:

    • Eго наличие может вызвать у вас ложное ощущение защищенности;
    • cистема не делает ничего, что могло бы побудить вас установить привила на соединения;
    • cмертным (т.е. большинству пользователей Windows) практически невозможно настроить его.

    Microsoft следовало бы последовать совету Вамози и сделать несколько вещей. Во-первых, установить блокирование исходящих соединений по умолчанию. Во-вторых, сделать так, чтобы подобные действия осуществлялись в форме всплывающих диалоговых окон, в которых бы подтверждалось, что должна далее делать Windows. В-третьих, блокирование должно распространяться не только на IP-адрес, но и на домен.

    Источник: thevista.ru
    Перевод: Dazila


    Оцените статью:
    Голосов 4

    Материалы по теме:
  • 10 вещей, которые должны знать пользователи брандмауэра Vista
  • ViPNet Personal Firewall 2.8.14 - фаерволл
  • Настройка правил для Agnitum Outpost Firewall
  • Брандмауэр Windows Vista
  • Встроенный брандмауэр Windows


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет двадцать минус три?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+