Краткий обзор

Вид материалаРуководство
Создание правил, блокирующих нежелательный исходящий трафик
Шаги по созданию правил, запрещающих нежелательный исходящий трафик
Шаг 1. Блокирование трафика программы с помощью правила исходящего подключения
Создание запрещающего правила исходящего подключения
Group Policy
Шаг 2. Развертывание и тестирование созданного правила
Развертывание и тестирование запрещающего правила исходящих подключений
Group Policy
Подобный материал:
1   2   3   4   5   6   7   8   9   10   11

Создание правил, блокирующих нежелательный исходящий трафик


По умолчанию брандмауэр ОС Windows в режиме повышенной безопасности разрешает весь исходящий трафик. Если использование отдельных программ в организации пользователя запрещено, можно помочь выполнению этого запрета, заблокировав сетевой трафик, необходимый этим программам для нормальной работы.

По умолчанию входящий трафик, не удовлетворяющий ни одному правилу, блокируется, но ничто не мешает прохождению исходящего трафика. Для блокирования трафика запрещенных программ надо создать правило исходящего подключения, которое не дает трафику, удовлетворяющему определенным критериям, проходить через брандмауэр ОС Windows в режиме повышенной безопасности.

Шаги по созданию правил, запрещающих нежелательный исходящий трафик


В этом разделе мы создадим правила брандмауэра, блокирующие отдельные виды исходящего трафика. В качестве блокируемой программы мы будем использовать программу службы Telnet.

Шаг 1. Блокирование трафика программы с помощью правила исходящего подключения

Шаг 2. Развертывание и тестирование созданного правила

Шаг 1. Блокирование трафика программы с помощью правила исходящего подключения


На этом шаге мы создадим правило для компьютера CLIENT1, которое будет блокировать исходящий трафик на TCP-порту 23. Можно создать правило, соотнесенное с конкретным путем к программе и именем исполняемого файла, но поскольку программу легко переименовать и тем самым обойти ограничение, обычно лучше просто заблокировать те порты, с которыми программа работает.

Предупреждение

Блокирование порта приводит к тому, что никакая программа не сможет его использовать. Следует убедиться в том, что данный порт не используется ни одной необходимой программой.

Создание запрещающего правила исходящего подключения

    1. На компьютере MBRSVR1 закройте редактор Group Policy Management Editor, если он все еще открыт.

    2. В оснастке Group Policy Management щелкните правой кнопкой мыши пункт Firewall Settings for Vista Clients и выберите команду Edit.

    3. Последовательно разверните узлы Computer Configuration, Windows Settings, Security Settings, Windows Firewall with Advanced Security и Windows Firewall with Advanced Security - LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com.

    4. Щелкните пункт Outbound Rules. Отметьте, что не определено ни одного правила.

    5. Щелкните правой кнопкой мыши пункт Outbound Rules и выберите команду New rule.

    6. На странице Rule Type выберите пункт Custom и нажмите кнопку Next.

Примечание

Тип правила Port (для порта) позволяет указать блокируемый номер локального порта. Поскольку мы собираемся блокировать удаленный, а не локальный порт 23, мы выбрали тип правила Custom.

    7. На странице Program выберите вариант All programs и нажмите кнопку Next.

    8. На странице Protocol and Ports для Protocol type укажите тип TCP.

    9. В списке Remote ports выберите пункт Specific Ports, введите команду 23 в поле ввода и нажмите кнопку Next.

Примечание

Указать надо именно удаленный порт, а не локальный. В этом отличие от правил входящих подключений — правило применяется к клиенту, а не серверу.

    10. На странице Scope нажмите кнопку Next.

    11. На странице Action выберите пункт Block the connection и нажмите кнопку Next.

    12. На странице Profile снимите флажки Private и Public и нажмите кнопку Next.

    13. На странице Name введите команду Block Outbound Telnet и нажмите кнопку Finish.


Шаг 2. Развертывание и тестирование созданного правила


Теперь, когда правило создано, развернем его на компьютере CLIENT1 и протестируем.

Развертывание и тестирование запрещающего правила исходящих подключений

    1. На компьютере CLIENT1 в командной строке от имени администратора выполните команду gpupdate /force. Дождитесь завершения работы команды.

    2. Выполните команду telnet mbrsvr1.

    3. Подключение завершится неудачей с отображением следующего сообщения:

Connecting to mbrsvr1Could not open connection to the host, on port 23: Connect failed

    4. В следующем разделе служба Telnet нам снова понадобится, поэтому отключим наше правило. На компьютере MBRSVR1 в редакторе Group Policy Management Editor щелкните правой кнопкой правило Block Outbound Telnet и выберите команду Disable Rule.

    5. На компьютере CLIENT1 повторите шаги 1 и 2, чтобы убедиться в том, что служба Telnet снова работает.

    6. Введите команду exit и нажмите клавишу ввода для завершения сеанса Telnet.