Co większość użytkowników wie o Zaporze Windows? Niewiele. Na pewno liczna grupa będzie zgodna co do tego, że “jest coś takiego w systemie”. Owszem, jest. Działa, i to dość skutecznie. Jak działa? Co można z tym zrobić? Tym właśnie zajmiemy się w niniejszym artykule.
Zapora a IDS
Podstawowym zadaniem każdej zapory sieciowej jest nie – wbrew temu, co się powszechnie sądzi – blokowanie ataków, lecz filtrowanie ruchu sieciowego. Blokowanie ataków sieciowych to domena IDS-ów (Intrusion Detection System), czyli wyspecjalizowanych systemów wykrywania i neutralizacji włamań. IDS może występować jako fizyczny sprzęt podłączony do danej sieci, a także – znacznie popularniejszy wariant w domowych komputerach – jako komponent oprogramowania ochronnego. Zapora sieciowa może być odporna na pewne najczęściej spotykane metody ataków zaimplementowane w postaci odpowiednich reguł filtrowania ruchu, ale nie jest w pełni wyspecjalizowanym IDS-em. Poza tym umiejętne stosowanie reguł zapory i blokowanie ruchu aplikacjom oraz usługom, które takiego ruchu absolutnie nie potrzebują, powinno w znacznym stopniu zmniejszyć prawdopodobieństwo przeprowadzenia skutecznego ataku sieciowego.
Zapora Windows – zmiana ustawień
Warsztat powstał na komputerze działającym pod kontrolą systemu Windows 8, dostęp do analogicznych ustawień mają również posiadacze maszyn z Windows 7 na pokładzie.
1) Ściślejsza ochrona
Jeżeli jesteś podłączony do sieci publicznej (ustawiona lokalizacja “Sieć publiczna”), możesz zwiększyć poziom ochrony poprzez zablokowanie wszystkich nieuprawnionych prób połączenia z twoim komputerem. Uruchom Panel sterowania, wybierz kategorię “System i zabezpieczenia”, następnie kliknij “Zapora systemu Windows”. Po lewej stronie okna wybierz “Zmień ustawienia powiadomień”, a następnie w kolejnym oknie w sekcji “Ustawienia sieci publicznej” zaznacz pole wyboru “Blokuj wszystkie połączenia przychodzące, łącznie z aplikacjami na liście dozwolonych aplikacji”. Dzięki temu ustawieniu nie będziesz miał zablokowanych podstawowych funkcji (wciąż można korzystać z przeglądarki czy poczty elektronicznej), ale osoby postronne korzystające z tej samej sieci nie dostaną się do twoich zasobów.
2) Zezwolenie dla aplikacji
Niekiedy dochodzi do sytuacji, że jakiś program, z którego korzystasz, potrzebuje dostępu do sieci, ale ponieważ jego instalator nie zawierał żadnych informacji potrzebnych zaporze Windows, jest on domyślnie blokowany. Możesz ręcznie zezwolić wybranej aplikacji na komunikację sieciową. Wywołaj moduł zapory tak jak w poprzednim punkcie i po lewej stronie kliknij “Zezwalaj aplikacji lub funkcji na dostęp przez Zaporę systemu Windows”. W kolejnym oknie zobaczysz listę dostępnych (znanych zaporze) aplikacji i funkcji systemowych korzystających z Sieci, dla których możesz indywidualnie określić, czy mają być one mieć dostęp do Sieci (oddzielnie ustawiasz ten parametr dla sieci prywatnych (domowa, firmowa) i publicznych. Jeżeli potrzebnej aplikacji nie ma na liście, wskażesz ją, klikając przycisk “Zezwalaj na dostęp innej aplikacji…”.
3) Otwieranie portu i ustawienia niestandardowe
W przypadku aplikacji intensywnie korzystających z sieci, np. gier online, można otworzyć port komunikacyjny bądź dostosować inne ustawienia – krótko mówiąc, możesz sam stworzyć regułę filtrowania ruchu w sieci przypisaną konkretnej aplikacji. Wywołaj moduł zapory Windows w znany ci sposób i po lewej stronie okna kliknij “Ustawienia zaawansowane”. Zobaczysz okno “Zapora systemu Windows z zabezpieczeniami zaawansowanymi”. Po lewej stronie kliknij “Reguły przychodzące”, a następnie po prawej kliknij “Nowa reguła”. Uruchomisz kreatora nowej reguły ruchu przychodzącego. Możesz tworzyć nowe reguły zarówno dla programów, jak i dla konkretnych portów komunikacyjnych. Największy zestaw konfigurowalnych ustawień uzyskasz, tworząc tzw. regułę niestandardową. Pamiętaj, że zezwolenie na ruch sieciowy konkretnej aplikacji jest mniej ryzykowne niż otwarcie portu komunikacyjnego. W przypadku, gdy jednak otworzyłeś port (np. do gry sieciowej), pamiętaj o jego zamknięciu, gdy przestanie on już być potrzebny.
Multimedia i udostępnianie
Teoretycznie za pomocą opcji konfiguracyjnych zapory Windows możliwe jest zezwolenie na ruch sieciowy każdej aplikacji lub zablokowanie go. Jednak w przypadku niektórych usług i funkcji, na przykład przesyłu strumieniowego multimediów, lepiej sterować ich ustawieniami za pomocą dedykowanych opcji umieszczonych najczęściej w Panelu sterowania. Poniżej pokażemy, w jaki sposób można zatrzymać bądź uruchomić strumieniowy przesył plików multimedialnych zapisanych
na komputerze znajdującym się w sieci domowej i korzystającym z grup domowych. Poniższy warsztat opracowano przy założeniu, że korzystasz z komputera z systemem Windows 7, ale podobnie przebiega konfiguracja w przypadku systemu Windows 8.
1) Sprawdzanie stanu usługi
Zacznij od sprawdzenia aktualnego stanu usługi udostępniania multimediów. Uruchom Panel sterowania, a następnie w kategorii “Sieć i Internet” kliknij “Wybierz grupę domową i opcje udostępniania”.
2) Opcje udostępniania
W kolejnym oknie w sekcji “Udostępnij multimedia urządzeniom” sprawdź, czy zaznaczone jest widoczne w tej sekcji pole wyboru “Prześlij strumieniowo moje obrazy, muzykę…”. Jeżeli tak, oznacza to, że twój komputer rozsyła do każdego klienta w danej sieci lokalnej pliki multimedialne przechowywane w standardowych bibliotekach Windows. Zatem każdy, kto znajduje się w tej samej sieci co ty, ma możliwość podejrzenia, co udostępniasz. Muzyka, pliki wideo i zdjęcia nie są w żaden sposób zabezpieczone i można je zobaczyć np. na smartfonie, telewizorze czy dowolnym innym urządzeniu zgodnym z DLNA. Pamiętaj – jeżeli nie chcesz udostępniać multimediów, to najbezpieczniejszym ustawieniem jest po prostu usunięcie zaznaczenia z pola wyboru “Prześlij strumieniowo…”.
3) Multimedia dla wybranych
Całkowita blokada przesyłu multimediów nie zawsze jest dobrym rozwiązaniem. Możesz tak skonfigurować system, by jedynie wybrane jednostki miały dostęp do tego, co przesyłasz. Wystarczy kliknąć odnośnik “Wybierz opcje przesyłania strumieniowego multimediów…”. W kolejnym oknie ustaw nazwę, pod jaką twoja biblioteka multimediów będzie zgłaszała się w sieci (nazwa ta będzie wyświetlana przez urządzenia DLNA jako nazwa serwera dostarczającego treści multimedialne). Oprócz tego w oknie tym wyświetlona zostanie lista wszystkich wykrytych komputerów i urządzeń, dla każdego z nich możesz wybrać – poprzez rozwinięcie przycisku i wybór jednej z dwóch opcji – czy dostęp danej jednostki do twoich zdjęć i filmów ma być zablokowany czy dozwolony.
Powyższy sposób konfiguracji przesyłu strumieniowego multimediów z systemu Windows do innych urządzeń obecnych w sieci lokalnej jest znacznie łatwiejszy i wygodniejszy niż konfigurowanie indywidualnych reguł dostępu w usłudze udostępniania danych.
Ochrona skuteczna?
Na czym polega ochronna funkcja zapory Windows? Przede wszystkim na automatycznym wdrażaniu predefiniowanych reguł ochrony oraz na oferowaniu użytkownikowi funkcji pozwalających określić, które aplikacje i usługi mogą mieć dostęp do sieci, a które z takiej komunikacji korzystać nie mogą. Sposobów na konfigurację reguł zapory jest kilka (np. za pomocą apletu w Panelu sterowania czy też sposób znacznie dokładniejszy, za pomocą dedykowanej konsoli Microsoft Management Console; obie metody przedstawiliśmy w warsztacie). Należy zapamiętać jedną i podstawową zasadę: jeżeli czegoś nie jesteśmy absolutnie pewni – nie zmieniamy ustawień. Standardowo zapora Windows jest skonfigurowana w sposób możliwie uniwersalny, tak jak i cały system operacyjny. Microsoft, przygotowując produkt na rynek masowy, nie jest w stanie dokładnie przewidzieć, w jakich warunkach system będzie wykorzystywany i z jakimi sieciami będzie się łączył, dlatego zautomatyzowana konfiguracja podsystemu sieciowego Windows, w tym i zapory Windows, wymaga pewnego wsparcia ze strony użytkownika.
Ustawienia sieci
W najpopularniejszych dziś wersjach Windows wbudowana zapora jest standardowo zawsze włączona, ale jej funkcje mogą być różnie skonfigurowane w zależności od tego, z jakiej sieci korzystasz. Być może pamiętasz, że podczas pierwszego podłączenia komputera do nowej sieci (niezależnie od tego, czy jest to sieć kablowa, bezprzewodowa, domowa, firmowa czy hotspot w kawiarni) system operacyjny zawsze wyświetla na ekranie okno, w którym prosi o wybór typu sieci, z jaką jest w danej
chwili połączony. Do wyboru są trzy opcje: “domowa”, “firmowa” oraz “publiczna”. Niestety, wielu użytkowników popełnia błąd polegający na tym, że wybierają niewłaściwy typ sieci, co z kolei powoduje albo zbyt niski poziom ochrony, albo brak dostępu do pewnych funkcji systemu. Przykładowo jeżeli jesteśmy w kawiarni, na lotnisku czy w innym publicznym miejscu i po podłączeniu się do lokalnego punktu dostępowego zaznaczymy we wspomnianym oknie pozycję “sieć domowa”, to… udostępniamy wszystkim dookoła nasze prywatne pliki, zdjęcia, filmy czy muzykę! W przypadku prawidłowego zaznaczenia opcji “sieć publiczna” usługi udostępniania zostaną domyślnie przez zaporę zablokowane. Inny przykład: w naszej sieci domowej pojawia się nowy komputer, łączymy go z siecią i we wspomnianym oknie zaznaczamy opcję “sieć firmowa”. W takim przypadku nie powinniśmy się dziwić, gdy później nie uda nam się za pomocą tego komputera korzystać z grup domowych. Grupy domowe w Windows są funkcją przypisaną ustawieniom sieci domowych, a nie firmowych. W każdym razie, jeżeli bezpieczeństwo jest rzeczą, do której przykładasz bardzo dużą wagę i nie zamierzasz korzystać z opcji udostępniania danych innym komputerom ani urządzeniom, to najbezpieczniejszym ustawieniem jest zawsze nadanie lokalizacji sieciowej statusu “sieć publiczna”.
Zapora Windows z ustawieniami zaawansowanymi
Standardowy aplet Panelu sterowania przeznaczony do konfiguracji zapory zawiera bardzo mało opcji – w zasadzie pozwala jedynie na włączenie bądź wyłączenie zapory, zmianę powiadomień, zezwolenie aplikacji na ruch sieciowy oraz przywrócenie standardowej konfiguracji. Jednak Microsoft wbudował w system Windows znacznie bardziej rozbudowaną i funkcjonalną aplikację do zarządzania ruchem sieciowym – mowa o konsoli administracyjnej MMC (Microsoft Management Console) o nazwie “Zapora systemu Windows z zabezpieczeniami zaawansowanymi”. Za pomocą tej graficznej konsoli (dostęp do niej wymaga uprawnień administratora) możesz dokładnie sprawdzić (i edytować) absolutnie każdą regułę ruchu zaimplementowaną w zaporze Windows. Możesz również tworzyć nowe reguły i usuwać te istniejące. Oprócz reguł ruchu (przychodzącego i wychodzącego), dotyczących aplikacji i usług, opisywane narzędzie pozwala również tworzyć tzw. reguły zabezpieczeń połączeń, obejmujące bardzo zaawansowane aspekty komunikacji sieciowej. Można np. tworzyć reguły, które będą uwierzytelniać połączenia wyłącznie pomiędzy ściśle określonymi komputerami, pozwolą na trwałe blokowanie prób uwierzytelniania z konkretnych maszyn czy umożliwią odseparowanie maszyny od niepotrzebnych połączeń. Każda reguła może być dodatkowo profilowana: jej działanie może być różne w zależności od tego, w jakiej sieci komputer działa, a także kto w danym momencie z niego korzysta. Oprócz spełniania wymienionych funkcji zaawansowana wersja zapory pozwala również na bieżąco monitorować wszelkie zdarzenia sieciowe, do jakich dochodzi na danym komputerze – są one prezentowane w formie czytelnego raportu.
Zdjęcie zapory pochodzi z serwisu Shutterstock