Желательно дополнительно защитить компьютер от атак, используя брандмауэр Windows. Этот встроенный в операционную систему брандмауэр защищает , ограничивая типы передаваемой информации. Принудительно применяя соответствующие ограничения, можно понизить вероятность проникновения в систему несанкционированных лиц.
Брандмауэр Windows представляет собой программный или аппаратный комплекс, который проверяет данные, входящие через Интернет или сеть, и в зависимости от параметров брандмауэра блокирует или разрешает их передачу на компьютер.
Брандмауэр Windows поможет предотвратить проникновение хакеров или вредоносного программного обеспечения (такого как черви) в ваш компьютер через сеть или Интернет. Брандмауэр также помогает предотвратить отправку вредоносных программ на другие компьютеры.
С помощью брандмауэра вы можете запретить входящие соединения и тем самым стопроцентно защитить себя от всевозможных атак. Также можно запретить доступ отдельно взятой программе или целому классу программ. Так, заблокировав 80-й порт, вы заблокируете работу по сути любого браузера, так как этот порт используется браузерами для получения веб-страниц.
В большинстве случаев параметры брандмауэра должны устроить всех пользователей. И настраивать его вам тоже не придется. Разве что при запуске новой программы указать, в каких сетях ей разрешено работать, а в каких - нет. На скриншоте ниже показано, что программа µTorrent (торрент-клиент) запущена в первый раз и брандмауэр спрашивает, что с ней делать.
По умолчанию предполагается, что вы хотите разрешить работу программы только в частных сетях, например в домашней или рабочей сети. А в общественных сетях, например в бесплатной Wi-Fi-зоне в каком-нибудь публичном месте, программе доступ к Интернету будет закрыт. Нужно разрешить программе работу в публичных сетях,
иначе ваши программы не будут работать в общественных сетях, например (в библиотеке или кафе).
Если вы снимете еще и флажок Частные сети,например,домашняя или рабочая сеть
, то программе вообще будет запрещен доступ к Интернету. Некоторые программы, которым для работы Интернет вообще не нужен, качают из Сети рекламу. Доступ к Интернету таким программам можно запретить. Работать они будут, а вместо рекламных баннеров станут появляться пустые места.
Иногда вы можете автоматически нажать кнопку Разрешить , забыв отметить флажок Общественные сети . В этом случае придется настраивать правила брандмауэра, чтобы программа заработала как следует.
Для того чтобы получить доступ к настройкам брандмауэра Windows, нажмите сочетание клавиш + R , в появившемся диалоговом окне Выполнить введите firewall.cpl и нажмите клавишу Enter ↵
Откроется окно Брандмауэр Windows в котором видно, что сейчас компьютер подключен только к частной сети.
Для того чтобы настроить параметры Брандмауэра Windows, в левой части окна нажмите пункт Включение и отключение брандмауэра Windows
Откроется окно Настроить параметры , в котором можно выбрать, для каких сетей он будет включен, а для каких - выключен. По умолчанию брандмауэр включен как для частных, так и для общественных сетей.
Не отключайте брандмауэр! Это можно сделать лишь перед установкой брандмауэра другого разработчика, чтобы между двумя программами одного класса не возник конфликт.
Для того чтобы получить доступ к дополнительным настройкам брандмауэра Windows, выберите команду Дополнительные параметры на панели слева.
Откроется окно в котором вы увидите дополнительные параметры - сводку по ним.
Самое главное в дополнительных параметрах брандмауэра - это правила
. Правила можно создать как для входящих, так и для исходящих соединений. По умолчанию все входящие соединения, не соответствующие правилам, разрешающим эти соединения, запрещены. А вот с исходящими соединениями ситуация другая - они разрешены, если для них не созданы запрещающие правила.
Перейдите в раздел Правила для входящих подключений . В нем вы найдете все правила - как общие для входящих подключений, так и правила для отдельно созданных программ.
Дважды щелкните на любом из правил. На скриншоте ниже показано правило для µTorrent. Вы можете запретить работу µTorrent, выбрав Блокировать подключение
Создание нового правилаВ окне Брандмауэр Windows в режиме повышенной безопасности выберите раздел Правила для исходящего подключения
В следующем окне справа на панели Действия выберите команду Создать правило
В открывшемся окне Мастер создания правила для нового исходящего подключения нужно выбрать тип правила. Если бы мы хотели запретить какую-то конкретную программу, например Chrome, то выбрали бы правило Для программы. А раз нужно запретить все браузеры, то следует создать правило для порта, выбираем тип правила Для порта и нажимаем кнопку Далее
В следующем окне нужно выбрать действие, в нашем случае Блокировать подключение , нажимаем кнопку Далее
Затем нужно определить, для каких профилей должно работать правило. Следует выбрать все три профиля, иначе в каких-то сетях правило будет работать, а в каких-то - нет.
В следующем окне введите имя правила и его описание (необязательно), и нажмите кнопку Готово
Созданное правило отображено на скриншоте ниже.
Теперь проверим правило в работе. Откройте любой браузер и попытайтесь обратиться к любому сайту. Вы увидите сообщение об ошибке.
Вернитесь в окно дополнительных параметров.
На самом деле портов намного больше, чем представлено в таблице. Некоторые из них назначаются официально, некоторые - неофициально. С официальными все ясно - они могут использоваться только для четко обозначенных действий. С неофициальными не все так просто. Сегодня их может использовать одна программа, завтра - другая.
Существует два способа запрещения (или разрешения) программе обращаться к Интернету. Первый заключается в том, что вы указываете выполняемый файл программы и "говорите", что этой программе доступ к Интернету запрещен (или разрешен). В этом случае вы запретите (или разрешите) доступ конкретному выполняемому файлу (конкретной программе). Предположим, что вы разрешили доступ к Интернету программе qip.ехе. Если кто-то переименует ее выполняемый файл в qip1.ехе, то доступ к Интернету этой программе будет запрещен, поскольку брандмауэр ничего не знает об этой программе - он знаком только с программой qip.ехе.
Второй способ запрещения (разрешения) доступа основан на портах. В этом случае вы можете запретить (или разрешить) доступ сразу всем программам определенного класса. Например, сервис ICQ использует порт 5190. Если вы запретите порт 5190, то ни одна программа, использующая этот порт, - будь то qip.exe, qip1.ехе или icq.exe - не сможет получить доступ к Интернету по этому порту. Как по мне, второй способ более надежный, но для этого вам нужно знать порты, которые использует программа. Номер порта можно уточнить в документации по программе или на сайте разработчика программы. Основные TCP-порты описаны в таблице.
Основные ТСР-порты
Порт | Сервис | Что будет, если запретить доступ к этому порту |
21 | FTP (File Transfer Protocol) | Ни один FTP-клиент не сможет обратиться к FTP-серверу. Скачивать файлы с FTP будет невозможно. Полезно, если вы хотите сэкономить трафик - на FTP-серверах хранится много трафика и, если ноутбуком пользуется еще кто-то кроме вас, то можно запретить доступ к Frp, если не хочется переплачивать (при условии дорогого доступа к Интернету) |
25 | SMTP (Simple Mail Transfer Protocol) | Запретив доступ к этому порту, вы запретите отправку почты все почтовым клиентам |
53 | DNS (Domain Name System) | Этот порт запрещать нельзя, поскольку система не сможет преобразовать доменные имена в IP-адреса, и Интернету вас работать не будет (не будут открываться страницы, не будет отправляться и приниматься почта и т.д.) |
80 | HTTP(Hyper Text Transfer Protocol) | Протокол передачи гипертекстовой информации. Это основной протокол WWW. Запретив доступ к этому порту, вы запретите всем браузерам обращаться ко всем сайтам. Остальные сервисы (почта, FTP) будут работать, если вы явно не запретили их |
110 | POP (Post Office Protocol) | Протокол, по которому принимается почта. Если запретить этот порт, вы не сможете принимать почту по этому протоколу |
443 | SSL (Secure Socket Layer) | После запрета этого порта можете забыть о безопасных соединениях (HTTPS), которые устанавливаются по порту 443 |
5190 | ICQ | Этот порт использует популярный клиент мгновенного обмена сообщениями ICQ. Запретив порт 5190, вы запретите доступ к Интернету всем ICQ-клиентам (ICQ, QIP, Miranda и др.) |
44583 | Skype | Порт 44583 используется программой Skype для входящих соединений. Если запретить этот порт, Skype работать не будет |
Перейдем к практике. Давайте разрешим или запретим какой-то программе доступ к Интернету. На панели действий выберите команду Разрешить запуск программы или компонента через брандмауэр Windows. Посмотрите на рисунок.
Программе Total Commander разрешено использовать ресурсы только домашней сети, но не публичной. Это означает, что, когда вы будете подключены к Интернету через публичную сеть (Wi-Fi), программа Total Commander не сможет обратиться к ресурсам Интернета (кроме функций файлового менеджера, Total Commander также является FTP-клиентом, поэтому доступ к Интернету этой программе нужен). Чтобы потом не удивляться, почему Total Commander не может достучаться к FTP-серверу, когда вы работаете в университете или в библиотеке по Wi-Fi, но прекрасно работает дома в вашей домашней сети, установите флажок Публичные напротив названия программы.
Теперь добавим программу в список разрешенных. Это можно сделать двумя способами. Первый способ заключается в щелчке на кнопке Разрешить другую программу. Откроется окно, в котором можно выбрать выполняемый (.ехе) файл программы. Но для этого вы должны знать, какой у программы выполняемый файл. Опытные пользователи справятся с этой задачей очень легко - они уже ориентируются в программах, и особых проблем не возникнет. По умолчанию брандмауэр добавляет программу в список разрешенных, но разрешает ей подключаться к Интернету через домашнюю или рабочую сеть, доступ через публичную сеть запрещен. Поэтому нужно вернуться в окно разрешенных программ и разрешить программе работу через публичные сети.
Второй способ понравится начинающим пользователям. При первом запуске программы, которая требует доступ к Интернету, вы увидите окно, подобное изображенному на рисунке.
Окно выводит имя выполняемого файла программы, путь к программе и позволяет разрешить доступ программы как к домашней, так и к публичной сети. Выберите Частные сети и Общественные сети и щелкните на кнопке Разрешить доступ. Если доступ программе разрешать не нужно, щелкните на кнопке Отмена.
После разрешения программе доступа к Интернету можете открыть окно разрешенных программ и компонентов и убедиться, что программа действительно добавлена в список разрешенных.
Итак, мы научились разрешать или блокировать доступ программы по ее имени. Теперь научимся создавать правила брандмауэра, чтобы можно было заблокировать доступ к TCP-сервису. Вернитесь в основное окно настройки брандмауэра Windows и выберите команду Дополнительные параметры. Вы увидите "страшное" окно, изображенное на рисунке.
Ничего страшного, конечно же, в нем нет, нужно только разобраться со всем. Слева находится панель правил (пока ни на чем щелкать не нужно!), позволяющая изменить правила для входящих и исходящих соединений, и правила безопасности подключения. По умолчанию брандмауэр блокирует все входящие соединения к нашей машине - ведь у нас же не сервер, значит, другим пользователям нечего подключаться к нашей машине. Справа находится панель Действия. По центру находится основная рабочая область.
Щелкните на кнопке Свойства, которая находится на панели Действия.
Все параметры на этих трех вкладках одинаковые. Вы можете включить или выключить брандмауэр для определенной сети. Например, если вы хотите выключить брандмауэр для частной сети, перейдите на вкладку Частный профиль и выберите Состояние брандмауэра Отключить. Также можно выбрать, что делать с входящими и исходящими подключениями. По умолчанию для всех профилей входящие соединения блокируются, а исходящие - разрешаются. Другие параметры нам особо не интересны. На вкладку Параметры IPSec можете вообще не заходить - очень редко требуется изменять присутствующие на ней параметры.
Щелкните по кнопке ОК, и вы вернетесь в окно дополнительных параметров. Сейчас мы попытаемся задать собственное правило брандмауэра. Пока выберите Правила для входящих соединений и посмотрите на правила для программ Skype и totalcmd: этим программам разрешен доступ через профили Частный и Общие. Если правило включено, то оно отмечается цветным значком, а если выключено - серым. Для выключенного правила параметр Включено имеет значение Нет, а для активного правила - Да. Если правило вам временно не нужно, его можно отключить, выбрав команду Отключить правило - совсем не обязательно удалять правило.
Дважды щелкните на правиле для программы Skype или для любой другой программы. Перейдите на вкладку Протоколы и порты, выберите протокол TCP.
Здесь вы можете задать порты для протокола TCP (основной протокол Интернета). Можно ничего не задавать, тогда программе можно будет обращаться к любым портам. А можно четко задать, к каким удаленным портам можно обращаться программе. В случае с Skype можно для параметра Удаленный порт выбрать значение Специальные порты и ввести порт 44583. Аналогично, для браузера можно указать порты 80, 443 или 80, 443, 21 (если хотите разрешить браузеру доступ к FTP).
Вот теперь можно создать собственное правило. Щелкните по кнопке Создать правило - она находится на панели Действия. Перед тем как щелкать по этой кнопке, выберите тип соединения - исходящее или входящее. Для этого перейдите в соответствующий раздел правил брандмауэра! Нам нужно создать правило для исходящего соединения.
Прежде чем приступить к созданию правила, нужно определиться, что должно делать это правило.
Давайте запретим работу всех ICQ-клиентов, запретив порт 5190.
Выбираем тип правила Для порта. В поле Определенные удаленные порты введите порт 5190 и щелкните на кнопке Далее. ICQ еще может использовать порт 443, но запрещать его не стоит, поскольку этот же порт может использовать и браузер для SSL-соединения.
Следующий шаг - выбор профилей, для которых будет активно правило. Выберите все три профиля - Частный, Доменный и Публичный.
Правило почти создано - осталось ввести имя правила, его описание (необязательно) и щелкнуть на кнопке Готово.
Аналогично, с помощью команды Создать правило можно создать правила и для других программ, если это вам нужно. Но приведенный пример расширенного создания правила используется очень редко. Он был приведен только в образовательных целях. Обычно нужно или предоставить доступ программе, или заблокировать доступ.
Напоследок рассмотрим раздел Наблюдение. Выберите команду Наблюдение => Брандмауэр, и вы увидите список всех активных правил брандмауэра - очень удобно, когда выводится именно список активных правил, а не список всех правил.
Блокировать программе доступ в интернет, или нет — вопрос личных предпочтений. Поэтому трудно привести в пример определенный список приложений, которые однозначно попадут под запрет. К примеру, можно отключить от сети утилиты, часто обращающиеся к официальному сайту за обновлениями, либо отсылающие разработчикам определенную статистику, которую пользователь разглашать не желает.
На только что установленной ОС приложение, пытающееся получить доступ ко всемирной сети, будет остановлено брандмауэром Windows, либо антивирусом, запрашивающими, что же делать с «нарушителем». Программу можно внести с исключения, разрешить ей доступ, либо выбрать вариант, при котором доступ должен разрешаться при каждой попытке соединения. Последнее достаточно утомительно для пользователя. Поэтому, если вы точно знаете, что доступ программе необходимо преградить:
Если галочка не снимается, жмем на кнопку сверху «изменить параметры» и вносим правки еще раз. Переходим к следующему пункту.
Продолжая настройку Брандмауэра, в окне утилиты, на левой панели, выбираем подраздел «Дополнительные параметры». Далее все просто:
Данная утилита поможет разузнать, к каким конкретно сайтам пытается получить доступ программа, чтобы после заблокировать их в файле hosts. Таким образом можно «отрезать» путь к рекламе или каким-либо вирусным проникновениям. Скачав и установив Fiddler 2, запускаем программу:
Самый простой способ получить доступ к hosts, который требует прав администратора — это скопировать его на рабочий стол, открыть блокнотом, добавить адрес, сохранить изменения и вернуть файл в папку, из которой он был изъят (%SystemRoot%/system32/drivers/etc).
Вне всякого сомнения, выполнять блокировкудоступа в интернет умеет практически любой современный антивирус. Мы рассмотрим эти действия на примере антивируса Касперского, как одного из самых популярных:
Описанных выше методов хватит для того, чтобы надежно запретить доступ любой программе на ПК.
Основная масса локальных сетей создается либо для быстрого обмена определенными папками и файлами, либо для обеспечения доступом в интернет всех устройств в сети. Второй вариант наиболее трудоемок в плане настроек.
Автоматически назначенная маска подсети;
145.145.145.1 – Основной шлюз;
145.145.145.1 – Предпочитаемый DNS-сервер.