Thực đơn
trang chủKỹ thuật

Cách thiết lập tường lửa để phân phối Internet. Cài đặt tường lửa của Windows. Truy cập mạng trong cài đặt tường lửa. Tại sao tường lửa chặn internet?

2 phiếu bầu

Chúc một ngày tốt lành, độc giả thân mến của blog của tôi. Hôm nay tôi sẽ rời xa nhiệm vụ chính của mình một chút. Chúng ta sẽ không nói về việc kiếm tiền trên Internet mà sẽ thảo luận về một điều rất quan trọng. Hãy nói về việc bảo vệ trẻ em khỏi các trang web, trò chơi và ứng dụng độc hại.

Từ bài viết này, bạn sẽ học cách thiết lập quyền kiểm soát của phụ huynh trên Internet, tôi sẽ chiếu một video về cách bảo vệ con bạn khỏi tác hại của máy tính. Tôi sẽ cho bạn biết nên mua điện thoại nào cho trẻ nhỏ và đặt khóa để không ai đoán được rằng chúng bị cấm làm điều gì đó.

Kiểm soát của phụ huynh trong Windows

Nếu bạn có Windows 7, giống như tôi, thì bạn có thể cấm sử dụng một số chương trình, trò chơi nhất định và xác định thời gian trẻ em có thể sử dụng máy tính.

Nếu bạn cần cấm không chỉ việc sử dụng máy tính mà còn cả Internet, bạn sẽ phải tải xuống các tiện ích mở rộng bổ sung từ trang web chính thức của Microsoft để tăng khả năng kiểm soát. Nó miễn phí.

Nếu vì lý do nào đó bạn không thích phương pháp này, bạn có thể cài đặt một chương trình bổ sung khác. Tuy nhiên, trong mọi trường hợp, trước tiên bạn sẽ phải học cách tạo thêm tài khoản người dùng. Hãy tìm ra điều này một cách nhanh chóng.

Tạo tài khoản mới

Đi tới bảng điều khiển của bạn để tạo một tài khoản mới. Chỉ cần kiểm soát trẻ em và không gặp vấn đề gì khi tự mình sử dụng máy tính xách tay.

Bây giờ hãy mở tab “Kiểm soát của phụ huynh”.

Và tạo một tài khoản mới.

Đối với tài khoản này không cần thiết phải sử dụng . Chỉ có bạn (quản trị viên) cần nó để thanh thiếu niên không thể đột nhập vào hệ thống và thay đổi các điều kiện sang điều kiện thoải mái hơn.

Việc đánh dấu vào ô này hay không là tùy thuộc vào bạn và có thể cả con bạn nữa. Sau khi nhập tên, nhấp vào “Tạo”.

Sẵn sàng. Hãy thiết lập nó ngay bây giờ.

Thời gian giới hạn

Để áp dụng các cài đặt bổ sung, bạn cần truy cập vào tài khoản được tạo cho con cái. Nhấn vào nó.

Được rồi, mọi chuyện đã kết thúc rồi. Bạn đang ở nơi bạn cần đến. Bật kiểm soát của phụ huynh ở đầu cửa sổ mở ra.

Nếu không có các chương trình bổ sung, bạn có thể giới hạn thời gian, trò chơi và ứng dụng mà con bạn sử dụng. Hãy nhấp vào tùy chọn đầu tiên.

Hãy cẩn thận, bạn đánh dấu màu xanh lam thời gian anh ấy không thể ngồi trước máy tính. Sau khi hoàn tất, tất cả những gì bạn phải làm là nhấp vào “OK” và thế là xong.

Cấm chơi game

Chương trình theo dõi và kiểm soát

Nếu vì lý do nào đó bạn không muốn cài đặt Windows Live nhưng bạn cần cấm nó, thì tôi cung cấp cho bạn một chương trình Kiểm soát trẻ em. Nhờ nó, bạn cũng có thể từ chối quyền truy cập vào các tài nguyên không mong muốn, kiểm soát thời gian và xem con bạn đã truy cập những trang web nào.

Bản thân hoạt động của ứng dụng sẽ không được chú ý và khi truy cập vào tài nguyên bị cấm, trang web sẽ hiển thị lỗi 404, “Không tìm thấy máy chủ” hoặc “Không có trang”. Tiện ích này là phần mềm chia sẻ. Bạn sẽ có 14 ngày để sử dụng miễn phí và sau đó bạn sẽ phải trả 870 rúp để sử dụng.

Để sử dụng nó, như trong trường hợp đầu tiên, bạn sẽ phải tạo một số tài khoản, bao gồm cả tài khoản dành cho trẻ em. Tôi nghĩ đây sẽ không phải là một vấn đề như vậy. KidsControl sẽ chỉ mở khi hệ thống khởi động và bạn đăng nhập từ tài khoản (đầu tiên) mà quá trình khởi chạy được thực hiện.

Trong tương lai, sẽ không ai hiểu rằng bạn có chương trình này trên máy tính của mình. Để mở nó, bạn sẽ cần phải khởi động lại hệ điều hành. Thật buồn cười, nhưng ngay cả người có mặt ở khắp nơi cũng không nhìn thấy cô ấy, tức là ngay cả một thiếu niên tò mò cũng sẽ khó tiếp cận được cô ấy.

Vì vậy, hãy tải xuống chương trình và khởi động lại hệ thống. Thao tác này sẽ mở ra một cửa sổ trong đó bạn có thể thực hiện cài đặt.

Như bạn có thể thấy, có hai tài khoản ở đây: quản trị viên, người đã tải xuống chương trình và có tất cả các quyền, cũng như những người khác.

Bạn có thể tạo một số người dùng sẽ có quyền truy cập vào chương trình này. Bạn không cần phải hạn chế tất cả mọi người.

Danh sách đen sẽ bao gồm các trang web mà trẻ em bị cấm truy cập.

Bản thân chương trình xác định các tài nguyên bị cấm. Nó có cơ sở dữ liệu tích hợp với hệ thống cập nhật tự động giám sát Internet định kỳ và bổ sung các trang web không phù hợp với trẻ em.

Nếu bạn muốn, tab “Tệp bị cấm” sẽ chặn khả năng tải xuống một số tệp nhất định: nhạc, video và chương trình.

Chà, lịch truy cập sẽ không cho phép con bạn truy cập vào máy tính vào thời điểm không dành cho mục đích này.

Đó là tất cả. Bây giờ bạn đã biết cách bảo vệ con mình khỏi máy tính. Chúng ta đi nói chuyện điện thoại nhé?

Kiểm soát của cha mẹ trên điện thoại dành cho trẻ nhỏ

Đầu tiên, tôi muốn nói chuyện với bạn về việc bảo vệ trẻ nhỏ. Trong trường hợp đó, tôi khuyên bạn không nên cài đặt tính năng bảo vệ trên Internet hoặc điện thoại mà hãy mua BB-mobile . Bạn tự thêm số điện thoại vào đó để bé có thể gọi và viết SMS.

Không có nút phức tạp hoặc các chức năng bổ sung không cần thiết. Bất cứ lúc nào bạn có thể nhấn một vài nút và nhận được bản đồ với vị trí chính xác của con bạn. Theo cách tương tự, bạn có thể truy cập vào điện thoại di động của bé từ điện thoại của mình và bật chương trình phát âm thanh về những gì đang diễn ra xung quanh. Điện thoại sẽ tự động gọi lại cho bạn mà không cần sự tham gia của trẻ.

Khi nói đến những đứa trẻ nhỏ, điều này đơn giản là không thể thay thế được.

Tất nhiên, hiếm có đứa trẻ nào học lớp hai hoặc lớp ba sẽ bình tĩnh đi lại với chiếc BB-mobile và sẽ không nổi cơn tam bành đòi mua một chiếc điện thoại sang trọng. Chúng ta sẽ nói về cách làm việc với máy tính bảng và điện thoại trên Android trong một trong những bài viết sau. Đăng ký nhận bản tin để không bỏ lỡ.

Hẹn gặp lại và chúc may mắn trong nỗ lực của bạn.

Bao gồm một số tính năng bảo mật để giữ cho máy tính của bạn an toàn và bảo vệ dữ liệu của bạn khỏi phần mềm độc hại và tin tặc. Một tính năng như vậy là Tường lửa Windows, giúp ngăn chặn truy cập trái phép vào máy tính của bạn và chặn các ứng dụng độc hại tiềm ẩn.

Mặc dù Tường lửa hoạt động trơn tru và đáng tin cậy trong hầu hết mọi trường hợp nhưng đôi khi bạn có thể gặp phải sự cố. Ví dụ: Dịch vụ tường lửa có thể không khởi động được hoặc có thể xảy ra lỗi 80070424 hoặc lỗi dịch vụ 5 (0x5). Ngoài ra, đôi khi các ứng dụng hoặc tính năng, chẳng hạn như Remote Assistant, có thể mất quyền truy cập vào các tệp và máy in được chia sẻ do tường lửa hệ thống chặn nhầm chúng.

Nếu bạn gặp phải bất kỳ vấn đề nào trong số này hoặc các vấn đề tương tự, bạn có thể thực hiện một số bước. Bạn có thể sử dụng Trình khắc phục sự cố tường lửa của Windows, đây là một công cụ tự động quét và khắc phục các sự cố thường gặp. Cũng có thể đặt lại tường lửa về cài đặt mặc định và quản lý thủ công quyền truy cập mạng của các ứng dụng bị Tường lửa chặn.

Để chẩn đoán và khắc phục sự cố Tường lửa, hãy làm theo các bước sau:

  1. Tải xuống Trình khắc phục sự cố tường lửa của Windows từ Microsoft.
  2. Chạy tập tin WindowsTường lửa.diagcab bằng cách nhấp đúp vào nó.
  3. Bấm tiếp.
  4. Tùy thuộc vào kết quả tìm kiếm, chọn tùy chọn sẽ khắc phục được sự cố.
  5. Nếu mọi thứ đều thành công, hãy nhấp vào nút “Đóng” để hoàn tất trình khắc phục sự cố.

Nếu công cụ không khắc phục được sự cố, hãy nhấp vào liên kết “Xem thêm thông tin” để xem thông tin chi tiết về tất cả các sự cố mà công cụ đã cố khắc phục, bao gồm chia sẻ tệp và máy in, sự cố với Trợ lý từ xa và dịch vụ tường lửa.

Sau đó, bạn có thể tìm thêm thông tin về sự cố bằng cách sử dụng công cụ tìm kiếm hoặc yêu cầu trợ giúp trong phần nhận xét bên dưới.

Nếu trình khắc phục sự cố Tường lửa của Windows không phát hiện được sự cố, nguyên nhân có thể liên quan đến một cài đặt cụ thể trên hệ thống. Trong trường hợp này, bạn có thể thử xóa cấu hình hiện tại và đưa cài đặt về mặc định.

Quan trọng: Sau khi khôi phục cài đặt về mặc định, bạn có thể cần phải cấu hình lại các ứng dụng yêu cầu truy cập mạng thông qua tường lửa.

Để đưa cài đặt tường lửa của bạn về mặc định, hãy làm theo các bước sau:

  1. Trong menu bên trái, chọn tùy chọn “Khôi phục mặc định”.
  2. Nhấp vào nút "Khôi phục mặc định".
  3. Nhấp vào “Có” để xác nhận thao tác.

Khi bạn hoàn thành các bước này, các quy tắc và cài đặt mặc định sẽ được khôi phục và tất cả các vấn đề về cấu hình sẽ được giải quyết.

Nếu sự cố là do nhầm lẫn ứng dụng bị chặn thì bạn có thể sử dụng các bước sau để cho phép ứng dụng truy cập mạng.

  1. Mở Control Panel (nhấn phím Windows và gõ “Control Panel”).
  2. Chọn “Hệ thống và bảo mật”.
  3. Nhấp vào phần “Tường lửa Windows”.
  4. Trong menu bên trái, chọn tùy chọn “Cho phép ứng dụng hoặc tính năng tương tác với Tường lửa của Windows”.
  5. Chọn “Thay đổi cài đặt” bằng tài khoản quản trị viên thiết bị của bạn.
  6. Chọn ứng dụng hoặc dịch vụ bạn muốn cho phép.
  7. Chọn loại mạng “Riêng tư” nếu ứng dụng chỉ được truy cập vào mạng cục bộ hoặc “Công cộng” nếu ứng dụng phải giao tiếp với Internet.
  8. Bấm vào đồng ý.

Khuyên bảo: Nếu ứng dụng hoặc tính năng không được hiển thị trong danh sách, hãy nhấp vào nút “Cho phép ứng dụng khác” để thêm ứng dụng hoặc tính năng đó vào danh sách.

Bạn có thể sử dụng các hướng dẫn này để cấu hình lại các ứng dụng sau khi khôi phục Tường lửa Windows về cài đặt mặc định.

Mặc dù chúng tôi đã sử dụng Windows 10 trong ví dụ này nhưng bạn có thể sử dụng các hướng dẫn tương tự này để khắc phục sự cố tường lửa trong Windows 8.1 và Windows 7.

Tìm thấy một lỗi đánh máy? Đánh dấu và nhấn Ctrl + Enter

Ngoài Tường lửa thông thường, hệ điều hành còn có thêm Tường lửa - Windows Tường lửa với Bảo mật nâng cao. Về cơ bản đây là cùng một người. Điểm khác biệt duy nhất của chúng là cái đầu tiên cung cấp cho người dùng các tùy chọn khá hạn chế để thiết lập quy tắc Tường lửa. Nhưng những tính năng này là quá đủ cho đại đa số người dùng, hầu hết trong số họ thậm chí chưa bao giờ nhìn thấy tính năng này. Ví dụ, chức năng của Tường lửa thông thường cũng hoàn hảo. Nhưng đối với những người dùng phức tạp hơn, những người cần cài đặt linh hoạt hơn cho các quy tắc Tường lửa, Tường lửa Windows với Bảo mật nâng cao đã được tạo.

Cách mở tường lửa Windows với bảo mật nâng cao

Để làm điều này, bạn có thể sử dụng một trong một số phương pháp. Tôi sẽ mô tả ba trong số họ:

  1. Thật ngu ngốc khi gõ tên công cụ này vào tìm kiếm.
  2. Lần theo đường đi Bảng điều khiển\Hệ thống và bảo mật\Tường lửa Windows và nhấn nút Tùy chọn bổ sung.
  3. Mở bảng điều khiển MMC và thêm công cụ cần thiết vào đó. Sau đó chạy nó từ đó.

Nhiều người cũng đặt câu hỏi “Làm cách nào để tắt Tường lửa ở Chế độ bảo mật nâng cao”. Vì vậy, như tôi đã nói, hai công cụ này là cùng một người, chỉ có chức năng của chúng khác nhau. Do đó, sẽ đúng nếu đặt câu hỏi sau: “Cách tắt Tường lửa của Windows”. Và để thực hiện được điều này, trong cửa sổ Tường lửa của Windows, bạn sẽ cần có nút Bật hoặc tắt Tường lửa của Windows.

Các tính năng của Tường lửa Windows với Bảo mật nâng cao

Tường lửa Windows với Bảo mật nâng cao cho phép bạn tạo các quy tắc sau:

  1. Cấu hình riêng các quy tắc cho cả lưu lượng truy cập vào và ra.
  2. Tạo quy tắc Tường lửa dựa trên các giao thức và cổng khác nhau.
  3. Định cấu hình quy tắc trao đổi dữ liệu với mạng cho các dịch vụ. Hãy để tôi nhắc bạn rằng Tường lửa Windows chỉ cho phép bạn định cấu hình quy tắc cho các ứng dụng.
  4. Các quy tắc đã tạo chỉ có thể áp dụng cho các địa chỉ IP cụ thể trên mạng.
  5. Chỉ có thể vượt qua lưu lượng được ủy quyền.
  6. Cấu hình các quy tắc bảo mật kết nối.

Làm cách nào để tạo quy tắc Tường lửa dựa trên lưu lượng truy cập đến hoặc đi?

Để tạo quy tắc Tường lửa chỉ cho lưu lượng truy cập đến hoặc chỉ cho lưu lượng đi, bạn cần mở Tường lửa Windows ở chế độ Bảo mật nâng cao. Trong cửa sổ mở ra, bạn sẽ thấy một số nút trong cây điều khiển. Các nút chúng tôi cần được đặt tên Quy tắc cho các kết nối đếnQuy tắc kết nối đi, tương ứng. Khi bạn nhấp chuột phải vào một trong các nút này, một menu ngữ cảnh sẽ xuất hiện. Chúng ta sẽ quan tâm đến lệnh đầu tiên có tên Tạo quy tắc. Sau khi nhấp vào nút này, bạn sẽ được đưa đến cửa sổ để tạo quy tắc mà bạn phải tự tạo dựa trên mong muốn của mình. Tại đây bạn sẽ được yêu cầu chỉ định loại ràng buộc của quy tắc đang được tạo, bao gồm:

  • Đối với chương trình
  • Đối với cổng
  • Đã xác định trước
  • Có thể tùy chỉnh
Tạo quy tắc cho một chương trình (ứng dụng)

Bạn có thể cho phép hoặc vô hiệu hóa giao tiếp mạng cho một ứng dụng cụ thể nếu bạn đến cửa sổ nơi chúng tôi đã dừng ở đoạn trước. Sau đó bạn cần chọn mục Đối với chương trình. Trong cửa sổ tiếp theo, bạn phải chọn tất cả các chương trình hoặc một chương trình cụ thể.

Tạo quy tắc tường lửa cho một cổng

Quá trình tạo quy tắc cho một cổng giống hệt với quy trình tạo quy tắc cho một ứng dụng. Điểm khác biệt duy nhất là trong trường hợp này bạn cần chọn mục thứ hai có tên Đối với cổng. Quy tắc này cho phép bạn mở hoặc đóng một cổng cho giao thức TCP hoặc UDP. Do đó, trong cửa sổ tiếp theo, bạn cần chọn giao thức và cổng mà bạn sẽ tạo quy tắc.

Kích hoạt các quy tắc Tường lửa Windows được xác định trước

Windows đã có hàng chục quy tắc được tạo theo mặc định, những quy tắc này thường được cả người dùng và hệ điều hành áp dụng. Để xem và kích hoạt các quy tắc này, bạn phải chọn mục thứ ba - Đã xác định trước. Các quy tắc này không được kích hoạt theo mặc định nhưng chúng có thể được kích hoạt bất cứ lúc nào. Các quy tắc này sẽ có ích khi người dùng muốn sử dụng một số chức năng của Windows chẳng hạn hoặc sử dụng . Để kích hoạt các chức năng này, người dùng sẽ phải thực hiện một số hành động nhất định (mô tả về hành động này không có trong bài viết này). Khi thiết lập các chức năng này, hệ điều hành sẽ gửi tín hiệu đến Tường lửa Windows rằng cần phải kích hoạt gói quy tắc được xác định trước. Đó là những gì sẽ xảy ra. Trong trường hợp thất bại hoặc do chủ động cá nhân, người dùng có thể thực hiện việc này theo cách thủ công.

Quy tắc tường lửa tùy chỉnh

Và cuối cùng là những quy tắc phức tạp nhất: những quy tắc có thể tùy chỉnh. Phải chọn mục có chính xác tên này để có thể định cấu hình quy tắc cho một ứng dụng cụ thể sẽ sử dụng một cổng cụ thể và giới hạn việc áp dụng quy tắc này cho một số cổng nhất định. Nghĩa là, người dùng sẽ có quyền truy cập đầy đủ nhất để tạo quy tắc, đó là điều mà Tường lửa Windows với Bảo mật nâng cao nổi tiếng.

Cho phép hoặc từ chối kết nối và chọn loại mạng

Bốn phương pháp được liệt kê ở trên để tạo và ràng buộc quy tắc Tường lửa không kết thúc ở nơi tôi đã mô tả. Sau các bước sẽ được thực hiện cho từng phương pháp được mô tả, bạn cần chọn hai cài đặt bổ sung:

  1. Cho phép hoặc từ chối liên lạc cho loại quy tắc đã chọn.
  2. Chọn loại mạng() mà quy tắc đã chọn sẽ áp dụng.

Trong cửa sổ đầu tiên, bạn cần cho phép hoàn toàn lưu lượng truy cập, chỉ cho phép lưu lượng truy cập an toàn hoặc chặn hoàn toàn lưu lượng truy cập. Trong cửa sổ thứ hai và cuối cùng, bạn cần chọn các hộp bên cạnh ba loại mạng. Dấu kiểm bên cạnh mạng sẽ có nghĩa là quy tắc này sẽ được áp dụng trong loại mạng này.

Chức năng tuyệt vời này được hệ điều hành Windows cung cấp cho người dùng dưới dạng một công cụ tuyệt vời không kém có tên là Tường lửa Windows với Bảo mật nâng cao.

Phần đính vào Windows Vista™ Microsoft Management Console (MMC) là tường lửa cảm biến mạng dành cho máy trạm có chức năng lọc các kết nối đến và đi dựa trên cài đặt đã định cấu hình. Bây giờ bạn có thể định cấu hình cài đặt tường lửa và IPsec bằng một phần đính kèm. Bài viết này mô tả cách hoạt động của Tường lửa Windows với Bảo mật nâng cao, các sự cố thường gặp và giải pháp.

Cách hoạt động của Tường lửa Windows với Bảo mật nâng cao

Tường lửa Windows với Bảo mật nâng cao là tường lửa ghi nhật ký trạng thái mạng cho máy trạm. Không giống như tường lửa bộ định tuyến, được triển khai tại cổng giữa mạng cục bộ của bạn và Internet, Tường lửa Windows được thiết kế để chạy trên từng máy tính. Nó chỉ giám sát lưu lượng máy trạm: lưu lượng truy cập đến địa chỉ IP của máy tính đó và lưu lượng truy cập đi từ chính máy tính đó. Tường lửa Windows với Bảo mật nâng cao thực hiện các thao tác cơ bản sau:

    Gói tin đến được kiểm tra và so sánh với danh sách lưu lượng được phép. Nếu gói khớp với một trong các giá trị danh sách, Tường lửa Windows sẽ chuyển gói đó tới TCP/IP để xử lý thêm. Nếu gói không khớp với bất kỳ giá trị nào trong danh sách, Tường lửa Windows sẽ chặn gói đó và nếu tính năng ghi nhật ký được bật, sẽ tạo một mục nhập trong tệp nhật ký.

Danh sách lưu lượng được phép được hình thành theo hai cách:

    Khi kết nối được kiểm soát bởi Tường lửa Windows có Bảo mật nâng cao gửi một gói, tường lửa sẽ tạo một giá trị trong danh sách để cho phép lưu lượng quay lại được chấp nhận. Lưu lượng truy cập đến có liên quan sẽ yêu cầu sự cho phép bổ sung.

    Khi bạn tạo quy tắc cho phép cho Tường lửa Windows với Bảo mật nâng cao, lưu lượng truy cập mà bạn đã tạo quy tắc đó sẽ được phép trên máy tính đang chạy Tường lửa Windows. Máy tính này sẽ chấp nhận lưu lượng truy cập đến được cho phép rõ ràng khi hoạt động như một máy chủ, máy khách hoặc máy chủ mạng ngang hàng.

Bước đầu tiên để giải quyết vấn đề với Tường lửa Windows là kiểm tra cấu hình nào đang hoạt động. Tường lửa Windows với Bảo mật nâng cao là một ứng dụng giám sát môi trường mạng của bạn. Cấu hình Tường lửa của Windows thay đổi khi môi trường mạng của bạn thay đổi. Cấu hình là một tập hợp các cài đặt và quy tắc được áp dụng tùy thuộc vào môi trường mạng và các kết nối mạng hiện có.

Tường lửa phân biệt ba loại môi trường mạng: mạng miền, mạng công cộng và mạng riêng. Miền là môi trường mạng trong đó các kết nối được xác thực bởi bộ điều khiển miền. Theo mặc định, tất cả các loại kết nối mạng khác đều được coi là mạng công cộng. Khi phát hiện một kết nối mới, Windows Vista sẽ nhắc người dùng cho biết mạng đó là mạng riêng hay mạng công cộng. Hồ sơ chung nhằm mục đích sử dụng ở những nơi công cộng, chẳng hạn như sân bay hoặc quán cà phê. Hồ sơ riêng tư được thiết kế để sử dụng tại nhà hoặc tại văn phòng cũng như trên mạng an toàn. Để xác định mạng là riêng tư, người dùng phải có đặc quyền quản trị phù hợp.

Mặc dù một máy tính có thể được kết nối với nhiều loại mạng khác nhau cùng lúc nhưng chỉ có một cấu hình có thể hoạt động. Việc lựa chọn hồ sơ hoạt động phụ thuộc vào các lý do sau:

    Nếu tất cả các giao diện sử dụng xác thực bộ điều khiển miền thì cấu hình miền sẽ được sử dụng.

    Nếu ít nhất một trong các giao diện được kết nối với mạng riêng và tất cả các giao diện khác được kết nối với một miền hoặc mạng riêng thì hồ sơ riêng tư sẽ được sử dụng.

    Trong tất cả các trường hợp khác, hồ sơ chung được sử dụng.

Để xác định cấu hình hoạt động, hãy nhấp vào nút Quan sát Trong nháy mắt Tường lửa Windows với bảo mật nâng cao. Phía trên văn bản Trạng thái tường lửa sẽ cho biết hồ sơ nào đang hoạt động. Ví dụ: nếu cấu hình miền đang hoạt động, nó sẽ hiển thị ở trên cùng Hồ sơ tên miền đang hoạt động.

Bằng cách sử dụng cấu hình, Tường lửa Windows có thể tự động cho phép lưu lượng truy cập đến cho các công cụ quản lý máy tính cụ thể khi máy tính nằm trong một miền và chặn lưu lượng truy cập tương tự khi máy tính được kết nối với mạng công cộng hoặc mạng riêng. Do đó, việc xác định loại môi trường mạng sẽ đảm bảo việc bảo vệ mạng cục bộ của bạn mà không ảnh hưởng đến tính bảo mật của người dùng di động.

Các sự cố thường gặp khi chạy Tường lửa Windows với Bảo mật nâng cao

Sau đây là những sự cố chính xảy ra khi Tường lửa Windows với Bảo mật nâng cao đang chạy:

Trong trường hợp lưu lượng truy cập bị chặn, trước tiên bạn nên kiểm tra xem tường lửa có được bật hay không và cấu hình nào đang hoạt động. Nếu bất kỳ ứng dụng nào bị chặn, hãy đảm bảo rằng phần đính vào Tường lửa Windows với bảo mật nâng cao Có một quy tắc cho phép hiện hoạt đối với hồ sơ hiện tại. Để xác minh rằng quy tắc cho phép tồn tại, bấm đúp vào nút Quan sát, sau đó chọn phần Bức tường lửa. Nếu không có quy tắc cho phép hoạt động nào cho chương trình này, hãy truy cập trang web và tạo quy tắc mới cho chương trình này. Tạo quy tắc cho một chương trình hoặc dịch vụ hoặc chỉ định nhóm quy tắc áp dụng cho tính năng này và đảm bảo rằng tất cả quy tắc trong nhóm đó đều được bật.

Để xác minh rằng quy tắc cho phép không bị ghi đè bởi quy tắc chặn, hãy làm theo các bước sau:

    Trong cây chụp Tường lửa Windows với bảo mật nâng cao bấm vào nút Quan sát, sau đó chọn phần Bức tường lửa.

    Xem danh sách tất cả các quy tắc chính sách nhóm và cục bộ đang hoạt động. Quy tắc cấm ghi đè quy tắc cho phép ngay cả khi quy tắc sau được xác định chính xác hơn.

Chính sách nhóm ngăn cản việc áp dụng các quy tắc địa phương

Nếu Tường lửa Windows với Bảo mật nâng cao được định cấu hình bằng Chính sách nhóm, quản trị viên của bạn có thể chỉ định liệu các quy tắc tường lửa hoặc quy tắc bảo mật kết nối do quản trị viên cục bộ tạo sẽ được sử dụng hay không. Điều này có ý nghĩa nếu có các quy tắc tường lửa cục bộ hoặc quy tắc bảo mật kết nối được định cấu hình không có trong phần cài đặt tương ứng.

Để xác định lý do tại sao các quy tắc tường lửa cục bộ hoặc quy tắc bảo mật kết nối bị thiếu trong phần Giám sát, hãy làm theo các bước sau:

    Trong tích tắc Tường lửa Windows với bảo mật nâng cao, nhấp vào liên kết Thuộc tính tường lửa của Windows.

    Chọn tab hồ sơ đang hoạt động.

    Trong chuong Tùy chọn, Nhấn nút Điều chỉnh.

    Nếu áp dụng quy tắc địa phương, phần Kết hợp các quy tắc sẽ hoạt động.

Các quy tắc yêu cầu kết nối an toàn có thể chặn lưu lượng truy cập

Khi tạo quy tắc tường lửa cho lưu lượng truy cập vào hoặc ra, một trong các tham số là . Nếu chọn tính năng này, bạn phải có quy tắc bảo mật kết nối phù hợp hoặc chính sách IPSec riêng để xác định lưu lượng nào được bảo mật. Nếu không, lưu lượng truy cập này sẽ bị chặn.

Để xác minh rằng một hoặc nhiều quy tắc ứng dụng yêu cầu kết nối an toàn, hãy làm theo các bước sau:

    Trong cây chụp Tường lửa Windows với bảo mật nâng cao phần nhấp chuột Quy tắc cho các kết nối đến. Chọn quy tắc bạn muốn kiểm tra và nhấp vào liên kết Của cải trong phạm vi giao diện điều khiển.

    Chọn một thẻ Là phổ biến và kiểm tra xem giá trị nút radio đã được chọn chưa Chỉ cho phép kết nối an toàn.

    Nếu quy tắc được chỉ định với tham số Chỉ cho phép kết nối an toàn, mở rộng phần Quan sát trong cây đính vào và chọn phần. Đảm bảo rằng lưu lượng được xác định trong quy tắc tường lửa có quy tắc bảo mật kết nối phù hợp.

    Cảnh báo:

    Nếu bạn có chính sách IPSec đang hoạt động, hãy đảm bảo rằng chính sách đó bảo vệ lưu lượng cần thiết. Không tạo các quy tắc bảo mật kết nối để tránh xung đột với chính sách IPSec và các quy tắc bảo mật kết nối.

Không thể cho phép kết nối đi

    Trong cây chụp Tường lửa Windows với bảo mật nâng cao Chọn một phần Quan sát. Chọn tab hồ sơ đang hoạt động và trong phần Trạng thái tường lửa kiểm tra xem các kết nối đi không thuộc quy tắc cho phép có được phép hay không.

    Trong chuong Quan sát Chọn một phần Bức tường lửađể đảm bảo rằng các kết nối gửi đi được yêu cầu không được chỉ định trong quy tắc từ chối.

Chính sách hỗn hợp có thể dẫn đến tắc nghẽn giao thông

Bạn có thể định cấu hình cài đặt tường lửa và IPSec bằng nhiều giao diện Windows khác nhau.

Tạo chính sách ở nhiều nơi có thể dẫn đến xung đột và chặn lưu lượng truy cập. Có sẵn các điểm cài đặt sau:

    Tường lửa Windows với bảo mật nâng cao. Chính sách này được định cấu hình bằng cách sử dụng phần đính kèm thích hợp cục bộ hoặc như một phần của Chính sách nhóm. Chính sách này xác định cài đặt tường lửa và IPSec trên máy tính chạy Windows Vista.

    Mẫu quản trị tường lửa của Windows. Chính sách này được định cấu hình bằng Trình chỉnh sửa đối tượng chính sách nhóm trong phần này. Giao diện này chứa các cài đặt Tường lửa của Windows có sẵn trước Windows Vista và được sử dụng để định cấu hình GPO kiểm soát các phiên bản Windows trước đó. Mặc dù các cài đặt này có thể được sử dụng cho các máy tính chạy Windows Vista nhưng chúng tôi khuyên bạn nên sử dụng chính sách này để thay thế Tường lửa Windows với bảo mật nâng cao, vì nó mang lại sự linh hoạt và bảo mật cao hơn. Xin lưu ý rằng một số cài đặt cấu hình miền phổ biến đối với Chính sách và Mẫu quản trị tường lửa của Windows Tường lửa Windows với bảo mật nâng cao, vì vậy bạn có thể xem tại đây các tham số được định cấu hình trong cấu hình miền bằng cách sử dụng phần đính vào Tường lửa Windows với bảo mật nâng cao.

    Chính sách IPSec Chính sách này được định cấu hình bằng cách sử dụng phần đính kèm cục bộ Quản lý chính sách IPSec hoặc Trình chỉnh sửa đối tượng chính sách nhóm trong phần Cấu hình máy tính\Cấu hình Windows\Cài đặt bảo mật\Chính sách bảo mật IP trên “Máy tính cục bộ”. Chính sách này xác định cài đặt IPSec có thể được sử dụng bởi cả phiên bản Windows trước và Windows Vista. Chính sách này và các quy tắc bảo mật kết nối được xác định trong chính sách không được áp dụng đồng thời trên cùng một máy tính Tường lửa Windows với bảo mật nâng cao.

Để xem tất cả các tùy chọn này trong các phần đính kèm thích hợp, hãy tạo phần đính vào Bảng điều khiển quản lý của riêng bạn và thêm các phần đính vào đó Tường lửa Windows với bảo mật nâng cao, Và Bảo mật IP.

Để tạo phần đính vào bảng điều khiển quản lý của riêng bạn, hãy làm theo các bước sau:

    Nhấn vào nút Bắt đầu, đi tới trình đơn Tất cả các chương trình, sau đó vào menu Tiêu chuẩn và chọn Hành hình.

    Trong trường văn bản Mở ĐI VÀO.

    Tiếp tục.

    Trên thực đơn Bảng điều khiển chọn mục.

    Trên danh sách Phụ kiện có sẵn chọn thiết bị Tường lửa Windows với bảo mật nâng cao và nhấn nút Thêm vào.

    Nhấn vào nút ĐƯỢC RỒI.

    Lặp lại các bước từ 1 đến 6 để thêm ảnh chụp nhanh Nhóm quản lý chính sáchGiám sát an ninh IP.

Để kiểm tra xem chính sách nào đang hoạt động trong hồ sơ hiện hoạt, hãy sử dụng quy trình sau:

Để kiểm tra những chính sách nào được áp dụng, hãy làm theo các bước sau:

    Tại dấu nhắc lệnh, gõ mmc và nhấn phím ĐI VÀO.

    Nếu hộp thoại Kiểm soát tài khoản người dùng xuất hiện, hãy xác nhận hành động được yêu cầu và nhấp vào Tiếp tục.

    Trên thực đơn Bảng điều khiển chọn mục Thêm hoặc xóa phần đính kèm.

    Trên danh sách Phụ kiện có sẵn chọn thiết bị Nhóm quản lý chính sách và nhấn nút Thêm vào.

    Nhấn vào nút ĐƯỢC RỒI.

    Mở rộng một nút trong cây (thường là cây trong nhóm nơi đặt máy tính) và bấm đúp vào phần trong ngăn chi tiết của bảng điều khiển.

    Chọn giá trị nút radio Hiển thị cài đặt chính sách cho từ các giá trị người dùng hiện tại hoặc người dùng khác. Nếu không muốn hiển thị cài đặt chính sách cho người dùng mà chỉ hiển thị cài đặt chính sách cho máy tính, hãy chọn nút radio Không hiển thị chính sách người dùng (chỉ xem chính sách máy tính) và nhấn nút hai lần Hơn nữa.

    Nhấn vào nút Sẵn sàng. Trình hướng dẫn Kết quả Chính sách Nhóm tạo một báo cáo trong ngăn chi tiết của bảng điều khiển. Báo cáo chứa các tab Bản tóm tắt, Tùy chọnSự kiện chính trị.

    Để xác minh rằng không có xung đột với chính sách bảo mật IP, sau khi tạo báo cáo, hãy chọn tab Tùy chọn và mở Cấu hình máy tính\Cấu hình Windows\Cài đặt bảo mật\Cài đặt bảo mật IP trong dịch vụ thư mục Active Directory. Nếu thiếu phần cuối cùng thì chính sách bảo mật IP chưa được đặt. Ngược lại, tên và mô tả của chính sách cũng như GPO chứa nó sẽ được hiển thị. Nếu bạn sử dụng chính sách bảo mật IP và chính sách Tường lửa Windows có Bảo mật nâng cao cùng lúc với các quy tắc bảo mật kết nối thì các chính sách này có thể xung đột. Bạn chỉ nên sử dụng một trong các chính sách này. Giải pháp tối ưu là sử dụng các chính sách bảo mật IP kết hợp với Tường lửa Windows với các quy tắc Bảo mật nâng cao cho lưu lượng vào hoặc ra. Nếu các tham số được định cấu hình ở những nơi khác nhau và không nhất quán với nhau thì có thể phát sinh những xung đột chính sách khó giải quyết.

    Cũng có thể có xung đột giữa các chính sách được xác định trong Đối tượng chính sách nhóm cục bộ và các tập lệnh do bộ phận CNTT định cấu hình. Kiểm tra tất cả các chính sách bảo mật IP bằng chương trình IP Security Monitor hoặc bằng cách nhập lệnh sau tại dấu nhắc lệnh:

    Để xem các cài đặt được xác định trong Mẫu quản trị tường lửa của Windows, hãy mở rộng phần Cấu hình máy tính\Mẫu quản trị\Mạng\Kết nối mạng\Tường lửa Windows.

    Để xem các sự kiện mới nhất liên quan đến chính sách hiện tại, bạn có thể vào tab Sự kiện chính sách trong cùng một bảng điều khiển.

    Để xem chính sách được Tường lửa Windows có Bảo mật nâng cao sử dụng, hãy mở phần đính vào trên máy tính mà bạn đang chẩn đoán và xem lại cài đặt trong Quan sát.

Để xem các mẫu quản trị, hãy mở phần đính vào Chính sách nhóm và trong phần Kết quả chính sách nhóm Xem lại xem có cài đặt nào được kế thừa từ Chính sách nhóm có thể khiến lưu lượng truy cập bị từ chối hay không.

Để xem các chính sách bảo mật IP, hãy mở phần đính vào Giám sát bảo mật IP. Chọn máy tính cục bộ trong cây. Trong phạm vi bảng điều khiển, chọn liên kết Chính sách hoạt động, Chế độ cơ bản hoặc Chế độ nhanh. Kiểm tra các chính sách cạnh tranh có thể khiến lưu lượng truy cập bị chặn.

Trong chuong Quan sát sự gian lận Tường lửa Windows với bảo mật nâng cao Bạn có thể xem các quy tắc hiện có cho cả chính sách cục bộ và chính sách nhóm. Để biết thêm thông tin, vui lòng tham khảo phần " Sử dụng tính năng đồng hồ trong phần đính kèm Tường lửa Windows với bảo mật nâng cao » của tài liệu này.

Để dừng Tác nhân chính sách IPSec, hãy làm theo các bước sau:

    Nhấn vào nút Bắt đầu và chọn một phần Bảng điều khiển.

    Bấm vào biểu tượng Hệ thống và bảo trì của nó và chọn một phần Sự quản lý.

    Bấm đúp vào biểu tượng Dịch vụ. Tiếp tục.

    Tìm một dịch vụ trong danh sách Tác nhân chính sách IPSec

    Nếu dịch vụ Đại lý IPSecđang chạy, nhấp chuột phải vào nó và chọn mục menu Dừng lại. Bạn cũng có thể dừng dịch vụ Đại lý IPSec từ dòng lệnh bằng lệnh

Chính sách ngang hàng có thể khiến lưu lượng truy cập bị từ chối

Đối với các kết nối sử dụng IPSec, cả hai máy tính đều phải có chính sách bảo mật IP tương thích. Các chính sách này có thể được xác định bằng cách sử dụng phần đính vào quy tắc bảo mật kết nối Tường lửa của Windows Bảo mật IP hoặc nhà cung cấp bảo mật IP khác.

Để kiểm tra cài đặt chính sách bảo mật IP trên mạng ngang hàng, hãy làm theo các bước sau:

    Trong tích tắc Tường lửa Windows với bảo mật nâng cao chọn nút Quan sátQuy tắc bảo mật kết nốiđể đảm bảo rằng chính sách bảo mật IP được định cấu hình trên cả hai nút mạng.

    Nếu một trong các máy tính trên mạng ngang hàng đang chạy phiên bản Windows cũ hơn Windows Vista, hãy đảm bảo rằng ít nhất một trong các bộ mật mã chế độ gốc và một trong các bộ mật mã chế độ nhanh sử dụng thuật toán được cả hai hỗ trợ. điểm giao .

    1. Phần nhấp chuột Chế độ cơ bản, trong ngăn chi tiết bảng điều khiển, chọn kết nối bạn muốn kiểm tra, sau đó nhấp vào liên kết Của cải trong phạm vi giao diện điều khiển. Xem lại thuộc tính kết nối của cả hai nút để đảm bảo chúng tương thích.

      Lặp lại bước 2.1 cho phân vùng Chế độ nhanh. Xem lại thuộc tính kết nối của cả hai nút để đảm bảo chúng tương thích.

    Nếu bạn đang sử dụng xác thực Kerberos phiên bản 5, hãy đảm bảo rằng máy chủ nằm trong cùng một miền hoặc một miền đáng tin cậy.

    Nếu bạn đang sử dụng chứng chỉ, hãy đảm bảo chọn các hộp bắt buộc. Chứng chỉ sử dụng IPSec trao đổi khóa Internet (IKE) yêu cầu chữ ký số. Chứng chỉ sử dụng Giao thức Internet được xác thực (AuthIP) yêu cầu xác thực ứng dụng khách (tùy thuộc vào loại xác thực của máy chủ). Để biết thêm thông tin về chứng chỉ AuthIP, vui lòng tham khảo bài viết Xác thực IP trong Windows Vista AuthIP trong Windows Vista trên trang web của Microsoft.

Không thể cấu hình Tường lửa Windows với Bảo mật nâng cao

Tường lửa Windows với cài đặt Bảo mật nâng cao có màu xám (chuyển sang màu xám) trong các trường hợp sau:

    Máy tính được kết nối với mạng được quản lý tập trung và quản trị viên mạng sử dụng Chính sách nhóm để định cấu hình Tường lửa Windows với cài đặt Bảo mật nâng cao. Trong trường hợp này, ở đầu snap Tường lửa Windows với bảo mật nâng cao Bạn sẽ thấy thông báo "Một số cài đặt được kiểm soát bởi Chính sách nhóm". Quản trị viên mạng của bạn định cấu hình chính sách, do đó ngăn bạn thay đổi cài đặt Tường lửa của Windows.

    Máy tính chạy Windows Vista không được kết nối với mạng được quản lý tập trung nhưng cài đặt Tường lửa của Windows được xác định bởi Chính sách nhóm cục bộ.

Để thay đổi Tường lửa Windows với cài đặt Bảo mật nâng cao bằng Chính sách nhóm cục bộ, hãy sử dụng phần đính kèm Chính sách máy tính cục bộ. Để mở phần đính vào này, hãy nhập secpol tại dấu nhắc lệnh. Nếu hộp thoại Kiểm soát tài khoản người dùng xuất hiện, hãy xác nhận hành động được yêu cầu và nhấp vào Tiếp tục. Đi tới Cấu hình máy tính\Cấu hình Windows\Cài đặt bảo mật\Tường lửa Windows với bảo mật nâng cao để định cấu hình Tường lửa Windows với cài đặt chính sách Bảo mật nâng cao.

Máy tính không phản hồi yêu cầu ping

Cách chính để kiểm tra kết nối giữa các máy tính là sử dụng tiện ích Ping để kiểm tra kết nối tới một địa chỉ IP cụ thể. Trong quá trình ping, một tin nhắn tiếng vang ICMP (còn được gọi là yêu cầu tiếng vang ICMP) được gửi và phản hồi tiếng vang ICMP được yêu cầu đáp lại. Theo mặc định, Tường lửa Windows từ chối các tin nhắn tiếng vang ICMP đến, do đó máy tính không thể gửi phản hồi tiếng vang ICMP.

Cho phép tin nhắn tiếng vang ICMP đến sẽ cho phép các máy tính khác ping máy tính của bạn. Mặt khác, điều này sẽ khiến máy tính dễ bị tấn công bằng tin nhắn ICMP echo. Tuy nhiên, nên tạm thời cho phép các tin nhắn tiếng vang ICMP đến nếu cần, sau đó tắt chúng.

Để cho phép các tin nhắn tiếng vang ICMP, hãy tạo các quy tắc gửi đến mới cho phép các gói yêu cầu tiếng vang ICMPv4 và ICMPv6.

Để giải quyết các yêu cầu tiếng vang ICMPv4 và ICMPv6, hãy làm theo các bước sau:

    Trong cây chụp Tường lửa Windows với bảo mật nâng cao chọn nút Quy tắc cho các kết nối đến và nhấp vào liên kết Quy tắc mới trong khu vực hành động của bảng điều khiển.

    Có thể tùy chỉnh và nhấn nút Hơn nữa.

    Chỉ định giá trị chuyển đổi Tất cả các chương trình và nhấn nút Hơn nữa.

    Trong danh sách thả xuống Loại giao thức chọn giá trị ICMPv4.

    Nhấn vào nút Điều chỉnh cho mục Thông số giao thức ICMP.

    Đặt nút radio thành Các loại ICMP cụ thể, kiểm tra hộp Yêu cầu echo, Nhấn nút ĐƯỢC RỒI và nhấn nút Hơn nữa.

    Ở giai đoạn chọn địa chỉ IP cục bộ và từ xa tương ứng với quy tắc này, hãy đặt các công tắc thành giá trị Bất kỳ địa chỉ IP nào hoặc Địa chỉ IP được chỉ định. Nếu bạn chọn giá trị Địa chỉ IP được chỉ định, chỉ định địa chỉ IP được yêu cầu, nhấp vào nút Thêm vào và nhấn nút Hơn nữa.

    Chỉ định giá trị chuyển đổi Cho phép kết nối và nhấn nút Hơn nữa.

    Ở giai đoạn lựa chọn hồ sơ, chọn một hoặc nhiều hồ sơ (hồ sơ tên miền, hồ sơ riêng tư hoặc công khai) mà bạn muốn sử dụng quy tắc này và nhấp vào nút Hơn nữa.

    Trong lĩnh vực Tên nhập tên của quy tắc và trong trường Sự miêu tả- mô tả tùy chọn. Nhấn vào nút Sẵn sàng.

    Lặp lại các bước trên cho giao thức ICMPv6, chọn Loại giao thức giá trị thả xuống ICMPv6 thay vì ICMPv4.

Nếu bạn có các quy tắc bảo mật kết nối đang hoạt động, việc tạm thời loại trừ ICMP khỏi các yêu cầu IPsec có thể giúp giải quyết sự cố. Để thực hiện việc này, hãy mở trong tích tắc Tường lửa Windows với bảo mật nâng cao cửa sổ hộp thoại Của cải, đi tới tab Cài đặt IPSec và chỉ định giá trị trong danh sách thả xuống Đúng cho tham số Loại trừ ICMP khỏi IPSec.

Ghi chú

Cài đặt Tường lửa của Windows chỉ có thể được thay đổi bởi quản trị viên và nhà điều hành mạng.

Không thể chia sẻ tập tin và máy in

Nếu bạn không thể chia sẻ tệp và máy in trên máy tính có Tường lửa Windows đang hoạt động, hãy đảm bảo rằng tất cả các quy tắc nhóm đều được bật Truy cập vào tập tin và máy in Tường lửa Windows với bảo mật nâng cao chọn nút Quy tắc cho các kết nối đến Truy cập vào tập tin và máy in Bật quy tắc trong phạm vi giao diện điều khiển.

Chú ý:

Chúng tôi đặc biệt khuyên bạn không nên bật tính năng chia sẻ tệp và máy in trên các máy tính được kết nối trực tiếp với Internet vì những kẻ tấn công có thể cố truy cập các tệp được chia sẻ và gây hại cho bạn bằng cách làm hỏng các tệp cá nhân của bạn.

Tường lửa Windows không thể được quản lý từ xa

Nếu bạn không thể quản trị từ xa một máy tính có Tường lửa Windows đang hoạt động, hãy đảm bảo rằng tất cả các quy tắc trong nhóm mặc định đều được bật Quản lý tường lửa Windows từ xa hồ sơ hoạt động. Trong tích tắc Tường lửa Windows với bảo mật nâng cao chọn nút Quy tắc cho các kết nối đến và cuộn danh sách các quy tắc vào nhóm Điều khiển từ xa. Đảm bảo các quy tắc này được kích hoạt. Chọn từng quy tắc bị vô hiệu hóa và nhấp vào nút Bật quy tắc trong phạm vi giao diện điều khiển. Ngoài ra, hãy đảm bảo rằng dịch vụ Tác nhân chính sách IPSec được bật. Dịch vụ này là cần thiết để quản lý từ xa Tường lửa Windows.

Để xác minh rằng Tác nhân chính sách IPSec đang chạy, hãy làm theo các bước sau:

    Nhấn vào nút Bắt đầu và chọn một phần Bảng điều khiển.

    Bấm vào biểu tượng Hệ thống và bảo trì của nó và chọn một phần Sự quản lý.

    Bấm đúp vào biểu tượng Dịch vụ.

    Nếu hộp thoại Kiểm soát tài khoản người dùng xuất hiện, hãy nhập thông tin người dùng được yêu cầu với các quyền thích hợp và nhấp vào Tiếp tục.

    Tìm một dịch vụ trong danh sách Tác nhân chính sách IPSec và đảm bảo nó có trạng thái "Đang chạy".

    Nếu dịch vụ Đại lý IPSec dừng lại, nhấp chuột phải vào nó và chọn mục trong menu ngữ cảnh Phóng. Bạn cũng có thể bắt đầu dịch vụ Đại lý IPSec từ dòng lệnh bằng lệnh tác nhân chính sách khởi động mạng.

Ghi chú

Dịch vụ mặc định Tác nhân chính sách IPSecđã ra mắt. Dịch vụ này sẽ chạy trừ khi nó bị dừng thủ công.

Trình khắc phục sự cố tường lửa của Windows

Phần này mô tả các công cụ và kỹ thuật có thể được sử dụng để giải quyết các vấn đề phổ biến. Phần này bao gồm các tiểu mục sau:

Sử dụng tính năng giám sát trong Tường lửa Windows với Bảo mật nâng cao

Bước đầu tiên để giải quyết vấn đề Tường lửa của Windows là xem lại các quy tắc hiện hành. Chức năng Quan sát cho phép bạn xem các quy tắc được sử dụng dựa trên chính sách cục bộ và nhóm. Để xem các quy tắc gửi đến và gửi đi hiện tại trong cây đính kèm Tường lửa Windows với bảo mật nâng cao Chọn một phần Quan sát, sau đó chọn phần Bức tường lửa. Trong phần này bạn cũng có thể xem hiện tại quy tắc bảo mật kết nốihiệp hội bảo mật (chế độ Chính và Nhanh).

Kích hoạt và sử dụng kiểm tra bảo mật bằng công cụ dòng lệnh Auditpol

Theo mặc định, các tùy chọn kiểm tra bị tắt. Để định cấu hình chúng, hãy sử dụng công cụ dòng lệnh Auditpol.exe để thay đổi cài đặt chính sách kiểm tra trên máy tính cục bộ. Auditpol có thể được sử dụng để bật hoặc tắt hiển thị các danh mục sự kiện khác nhau và sau đó xem chúng sau trong phần đính kèm Trình xem sự kiện.

    Để xem danh sách các danh mục được Auditpol hỗ trợ, hãy nhập tại dấu nhắc lệnh:

  • Để xem danh sách các danh mục con được bao gồm trong một danh mục nhất định (ví dụ: danh mục Thay đổi chính sách), hãy nhập vào dòng lệnh:

    Auditpol.exe /list /category:"Thay đổi chính sách"

  • Để cho phép hiển thị một danh mục hoặc danh mục con, hãy nhập vào dòng lệnh:

    /Danh mục con:" TênDanh mục"

Ví dụ: để đặt chính sách kiểm tra cho một danh mục và danh mục con của nó, bạn sẽ nhập lệnh sau:

Auditpol.exe /set /category:"Thay đổi chính sách" /subcategory:"Thay đổi chính sách ở cấp quy tắc MPSSVC" /success:enable /failure:enable

Thay đổi chính sách

Thay đổi chính sách ở cấp quy tắc MPSSVC

Thay đổi chính sách nền tảng lọc

Nhập lối ra

Chế độ cơ bản IPsec

Chế độ nhanh IPsec

Chế độ nâng cao IPsec

Hệ thống

Trình điều khiển IPSEC

Các sự kiện hệ thống khác

Truy cập vào các đối tượng

Giảm gói theo nền tảng lọc

Kết nối nền tảng lọc

Để các thay đổi chính sách kiểm tra bảo mật có hiệu lực, bạn phải khởi động lại máy tính cục bộ hoặc buộc cập nhật chính sách thủ công. Để buộc cập nhật chính sách, hãy nhập tại dấu nhắc lệnh:

chính sách bí mật/làm mới<название_политики>

Sau khi chẩn đoán hoàn tất, bạn có thể vô hiệu hóa kiểm tra sự kiện bằng cách thay thế tham số kích hoạt trong các lệnh trên bằng vô hiệu hóa và chạy lại các lệnh.

Xem các sự kiện kiểm tra bảo mật trong nhật ký sự kiện

Sau khi bạn bật kiểm tra, hãy sử dụng Trình xem sự kiện để xem các sự kiện kiểm tra trong Nhật ký sự kiện bảo mật.

Để mở Trình xem sự kiện trong thư mục Công cụ quản trị, hãy làm theo các bước sau:

  1. Nhấn vào nút Bắt đầu.

    Chọn một phần Bảng điều khiển. Bấm vào biểu tượng Hệ thống và bảo trì của nó và chọn một phần Sự quản lý.

    Bấm đúp vào biểu tượng Trình xem sự kiện.

Để thêm Trình xem sự kiện vào MMC, hãy làm theo các bước sau:

    Nhấn vào nút Bắt đầu, đi tới trình đơn Tất cả các chương trình, sau đó vào menu Tiêu chuẩn và chọn Hành hình.

    Trong trường văn bản Mở nhập mmc và nhấn phím ĐI VÀO.

    Nếu hộp thoại Kiểm soát tài khoản người dùng xuất hiện, hãy xác nhận hành động được yêu cầu và nhấp vào Tiếp tục.

    Trên thực đơn Bảng điều khiển chọn mục Thêm hoặc xóa phần đính kèm.

    Trên danh sách Phụ kiện có sẵn chọn thiết bị Trình xem sự kiện và nhấn nút Thêm vào.

    Nhấn vào nút ĐƯỢC RỒI.

    Trước khi đóng phần đính vào, hãy lưu bảng điều khiển để sử dụng sau này.

Trong tích tắc Trình xem sự kiện mở rộng phần Nhật ký Windows và chọn một nút Sự an toàn. Trong khu vực làm việc của bảng điều khiển, bạn có thể xem các sự kiện kiểm tra bảo mật. Tất cả các sự kiện được hiển thị ở đầu khu vực làm việc của bảng điều khiển. Nhấp vào một sự kiện ở đầu không gian làm việc của bảng điều khiển để hiển thị thông tin chi tiết ở cuối bảng điều khiển. Trên tab Là phổ biến Có một mô tả về các sự kiện ở dạng văn bản rõ ràng. Trên tab Chi tiết Có sẵn các tùy chọn hiển thị sự kiện sau: Trình bày rõ ràngChế độ XML.

Định cấu hình nhật ký tường lửa cho hồ sơ

Trước khi có thể xem nhật ký tường lửa, bạn phải định cấu hình Tường lửa Windows với Bảo mật nâng cao để tạo tệp nhật ký.

Để định cấu hình ghi nhật ký cho Tường lửa Windows với cấu hình Bảo mật nâng cao, hãy làm theo các bước sau:

    Trong cây chụp Tường lửa Windows với bảo mật nâng cao Chọn một phần Tường lửa Windows với bảo mật nâng cao và nhấn nút Của cải trong phạm vi giao diện điều khiển.

    Chọn tab hồ sơ mà bạn muốn định cấu hình ghi nhật ký (hồ sơ miền, hồ sơ riêng tư hoặc hồ sơ công khai), rồi bấm vào Điều chỉnh Trong chuong Ghi nhật ký.

    Chỉ định tên và vị trí của tệp nhật ký.

    Chỉ định kích thước tệp nhật ký tối đa (từ 1 đến 32767 kilobyte)

    Trong danh sách thả xuống Ghi nhật ký các gói bị thiếu nhập giá trị Đúng.

    Trong danh sách thả xuống Ghi lại các kết nối thành công nhập giá trị Đúng và sau đó nhấp vào nút ĐƯỢC RỒI.

Xem tệp nhật ký tường lửa

Mở tệp bạn đã chỉ định trong quy trình trước đó, “Định cấu hình nhật ký tường lửa cho cấu hình”. Để truy cập nhật ký tường lửa, bạn phải có quyền quản trị viên cục bộ.

Bạn có thể xem tệp nhật ký bằng Notepad hoặc bất kỳ trình soạn thảo văn bản nào.

Phân tích tệp nhật ký tường lửa

Thông tin được ghi trong nhật ký được hiển thị trong bảng sau. Một số dữ liệu chỉ được chỉ định cho một số giao thức nhất định (cờ TCP, loại và mã ICMP, v.v.) và một số dữ liệu chỉ được chỉ định cho các gói bị loại bỏ (kích thước).

Cánh đồng

Sự miêu tả

Ví dụ

Hiển thị năm, tháng và ngày mà sự kiện được ghi lại. Ngày được viết theo định dạng YYYY-MM-DD, trong đó YYYY là năm, MM là tháng và DD là ngày.

Hiển thị giờ, phút và giây mà sự kiện được ghi lại. Thời gian được viết theo định dạng HH:MM:SS, trong đó HH là giờ ở định dạng 24 giờ, MM là phút và SS là giây.

Hoạt động

Cho biết hành động được thực hiện bởi tường lửa. Các hành động sau tồn tại: MỞ, ĐÓNG, THẢ và THÔNG TIN-SỰ KIỆN-MẤT. Hành động INFO-EVENTS-LOST cho biết nhiều sự kiện đã xảy ra nhưng không được ghi lại.

Giao thức

Hiển thị giao thức được sử dụng để kết nối. Mục này cũng có thể biểu thị số lượng gói không sử dụng giao thức TCP, UDP hoặc ICMP.

Hiển thị địa chỉ IP của máy tính gửi.

Hiển thị địa chỉ IP của máy tính người nhận.

Hiển thị số cổng nguồn của máy tính gửi. Giá trị cổng nguồn được viết dưới dạng số nguyên từ 1 đến 65535. Giá trị cổng nguồn chính xác chỉ được hiển thị cho giao thức TCP và UDP. Đối với các giao thức khác, “-” được viết là cổng nguồn.

Hiển thị số cổng của máy tính đích. Giá trị cổng đích được viết dưới dạng số nguyên từ 1 đến 65535. Giá trị cổng đích chính xác chỉ được hiển thị cho giao thức TCP và UDP. Đối với các giao thức khác, “-” được viết là cổng đích.

Hiển thị kích thước gói theo byte.

Hiển thị các cờ điều khiển giao thức TCP được tìm thấy trong tiêu đề TCP của gói IP.

    ACK. Trường xác nhận có ý nghĩa
    (trường xác nhận)

    Vây. Không còn dữ liệu từ người gửi
    (không còn dữ liệu để chuyển)

    Psh. Chức năng đẩy
    (chức năng đẩy)

    đầu tiênĐặt lại kết nối

  • Đồng bộ.Đồng bộ hóa số thứ tự
    (đồng bộ hóa số hàng đợi)

    Khẩn cấp. Trường con trỏ khẩn cấp có ý nghĩa quan trọng
    (đã bật trường con trỏ khẩn cấp)

Lá cờ được chỉ định bằng chữ in hoa đầu tiên trong tên của nó. Ví dụ như cờ Vây ký hiệu là F.

Hiển thị số hàng đợi TCP trong gói.

Hiển thị số xác nhận TCP trong gói.

Hiển thị kích thước cửa sổ gói TCP theo byte.

Kiểu trong một thông điệp ICMP.

Hiển thị số đại diện cho một trường Mã số trong một thông điệp ICMP.

Hiển thị thông tin dựa trên hành động được thực hiện. Ví dụ: đối với hành động THÔNG TIN-SỰ KIỆN-MẤT, giá trị của trường này cho biết số lượng sự kiện đã xảy ra nhưng chưa được ghi lại kể từ lần xuất hiện cuối cùng của sự kiện thuộc loại này.

Ghi chú

Dấu gạch nối (-) được sử dụng trong các trường của bản ghi hiện tại không chứa bất kỳ thông tin nào.

Tạo tập tin văn bản netstat và danh sách tác vụ

Bạn có thể tạo hai tệp nhật ký tùy chỉnh, một tệp để xem số liệu thống kê mạng (danh sách tất cả các cổng nghe) và một tệp khác để xem danh sách tác vụ ứng dụng và dịch vụ. Danh sách tác vụ chứa mã định danh quy trình (PID) cho các sự kiện có trong tệp thống kê mạng. Quy trình tạo hai tệp này được mô tả dưới đây.

Để tạo tệp văn bản thống kê mạng và danh sách tác vụ, hãy làm theo các bước sau:

    Tại dấu nhắc lệnh, nhập netstat -ano > netstat.txt và nhấn phím ĐI VÀO.

    Tại dấu nhắc lệnh, nhập danh sách nhiệm vụ > danh sách nhiệm vụ.txt và nhấn phím ĐI VÀO. Nếu bạn cần tạo một tệp văn bản có danh sách các dịch vụ, hãy nhập danh sách nhiệm vụ /svc > tasklist.txt.

    Mở tệp tasklist.txt và netstat.txt.

    Tìm mã của quy trình bạn đang chẩn đoán trong tệp tasklist.txt và so sánh nó với giá trị có trong tệp netstat.txt. Ghi lại các giao thức được sử dụng.

Ví dụ về phát hành tệp Tasklist.txt và Netstat.txt

Netstat.txt
Địa chỉ địa phương Proto Địa chỉ nước ngoài Trạng thái PID
TCP 0.0.0.0:XXX 0.0.0.0:0 NGHE 122
TCP 0.0.0.0:XXXX 0.0.0.0:0 NGHE 322
Danh sách tác vụ.txt
Tên hình ảnh Tên phiên PID Phiên # Cách sử dụng Mem
==================== ======== ================ =========== ============
svchost.exe 122 Dịch vụ 0 7,172 K
XzzRpc.exe 322 Dịch vụ 0 5,104 K

Ghi chú

Địa chỉ IP thực được đổi thành "X" và dịch vụ RPC được đổi thành "z".

Đảm bảo các dịch vụ thiết yếu đang chạy

Các dịch vụ sau phải đang chạy:

    Dịch vụ lọc cơ bản

    Khách hàng chính sách nhóm

    Các mô-đun khóa IPsec để trao đổi khóa Internet và xác thực IP

    Dịch vụ phụ trợ IP

    Dịch vụ đại lý chính sách IPSec

    Dịch vụ định vị mạng

    Dịch vụ danh sách mạng

    Tường lửa Windows

Để mở phần đính vào Dịch vụ và xác minh rằng các dịch vụ được yêu cầu đang chạy, hãy làm theo các bước sau:

    Nhấn vào nút Bắt đầu và chọn một phần Bảng điều khiển.

    Bấm vào biểu tượng Hệ thống và bảo trì của nó và chọn một phần Sự quản lý.

    Bấm đúp vào biểu tượng Dịch vụ.

    Nếu hộp thoại Kiểm soát tài khoản người dùng xuất hiện, hãy nhập thông tin người dùng được yêu cầu với các quyền thích hợp và nhấp vào Tiếp tục.

    Đảm bảo các dịch vụ được liệt kê ở trên đang chạy. Nếu một hoặc nhiều dịch vụ không chạy, hãy nhấp chuột phải vào tên dịch vụ trong danh sách và chọn Phóng.

Cách bổ sung để giải quyết vấn đề

Phương án cuối cùng là bạn có thể khôi phục cài đặt Tường lửa Windows của mình về mặc định. Khôi phục cài đặt mặc định sẽ mất tất cả các cài đặt được thực hiện sau khi cài đặt Windows Vista. Điều này có thể khiến một số chương trình ngừng hoạt động. Ngoài ra, nếu bạn điều khiển máy tính từ xa, kết nối với nó sẽ bị mất.

Trước khi khôi phục cài đặt mặc định, hãy đảm bảo rằng bạn đã lưu cấu hình tường lửa hiện tại của mình. Điều này sẽ cho phép bạn khôi phục cài đặt của mình nếu cần thiết.

Dưới đây là các bước để lưu cấu hình tường lửa của bạn và khôi phục cài đặt mặc định.

Để lưu cấu hình tường lửa hiện tại, hãy làm theo các bước sau:

    Trong tích tắc Tường lửa Windows với bảo mật nâng cao nhấp vào liên kết Chính sách xuất khẩu trong phạm vi giao diện điều khiển.

Để khôi phục cài đặt tường lửa của bạn về mặc định, hãy làm theo các bước sau:

    Trong tích tắc Tường lửa Windows với bảo mật nâng cao nhấp vào liên kết Khôi phục mặc định trong phạm vi giao diện điều khiển.

    Khi bạn nhận được lời nhắc Tường lửa Windows với Bảo mật nâng cao, hãy nhấp vào Đúngđể khôi phục các giá trị mặc định.

Phần kết luận

Có nhiều cách để chẩn đoán và giải quyết sự cố với Tường lửa Windows với Bảo mật nâng cao. Trong số đó:

    Sử dụng chức năng Quan sátđể xem các hành động của tường lửa, quy tắc bảo mật kết nối và liên kết bảo mật.

    Phân tích các sự kiện kiểm tra bảo mật liên quan đến Tường lửa của Windows.

    Tạo tập tin văn bản danh sach cong viecnetstatđể phân tích so sánh.

Hiện nay, nhiều giải pháp diệt virus đi kèm với tường lửa. Khi cài đặt, tường lửa tích hợp trong Windows sẽ bị tắt để tránh xung đột. Ngoài ra còn có các phần mềm chống vi-rút không có tường lửa tích hợp, chẳng hạn như Microsoft Security Essentials. Khi cài đặt nó, bạn nên có một tường lửa tích hợp hoặc một tường lửa được cài đặt riêng với công ty bên thứ ba. Theo mặc định, Tường lửa trong Windows 7 được bật và cấu hình chung. Điều này phù hợp với hầu hết người dùng, cũng như tất cả các giải pháp được cài đặt. Ở đây, chúng ta sẽ cùng nhau tìm ra cách có thể tăng cường tính bảo mật cho máy tính của mình bằng cách chỉ ra lưu lượng nào được phép và lưu lượng nào không.

Để quản lý tường lửa, bạn phải mở nó. Để mở nó, bạn cần phải tìm thấy nó. Sử dụng tìm kiếm Windows 7. Mở menu Bắt đầu và viết “áo ngực” và chọn Tường lửa Windows đơn giản.

Ở bên trái cửa sổ, chọn Bật hoặc tắt Tường lửa của Windows.

Trong cửa sổ mở ra, bạn có thể tắt hoặc bật tường lửa cho mạng bạn đã chọn hoặc cho tất cả cùng một lúc.

Nếu bạn biết chương trình và cần cấp quyền truy cập cho chương trình, hãy chọn hộp trên mạng nào cho phép liên lạc và nhấp vào Cho phép truy cập. Theo mặc định, hộp kiểm nằm trong mạng bạn hiện đang sử dụng.

Sau đó, bạn cần tắt dịch vụ Tường lửa của Windows. Hãy sử dụng tìm kiếm từ menu Bắt đầu.

Trong cửa sổ mở ra, hãy chuyển đến tab Dịch vụ và tìm Tường lửa Windows. Bỏ chọn hộp và nhấn OK.

Trong cửa sổ mở ra, bạn có thể cho phép chương trình kết nối thông qua tường lửa trên mạng tương ứng.

Nếu chương trình bạn cần không có sẵn thì sử dụng nút Cho phép chương trình khác... bạn có thể dễ dàng thêm chương trình đó.

Không thể chặn bất kỳ chương trình nào truy cập Internet tại đây. (Ít nhất là nó không hoạt động với tôi. Tôi đã bỏ chọn chương trình µTorrent và nó vẫn tải xuống).

Trong cửa sổ cho phép chương trình, bạn có thể thử nghiệm và không phải lo lắng rằng trình duyệt sẽ không truy cập được Internet (trường hợp của tôi). Mọi thứ có thể được trả lại bằng chức năng Khôi phục mặc định.

Theo mặc định mọi thứ sẽ hoạt động tốt.

Chặn lưu lượng đi

Nếu chúng tôi muốn đạt được mức bảo mật cao hơn, thì một trong những lựa chọn khả thi là chặn hoàn toàn lưu lượng truy cập đi và đặt quyền cho các chương trình và dịch vụ mà chúng tôi cần. Cần lưu ý ở đây rằng kết nối gửi đi được coi là kết nối được khởi tạo bởi một chương trình trên máy tính của bạn. Nghĩa là, nếu trình duyệt của bạn yêu cầu bất kỳ trang nào trên Internet và trang này được gửi đến máy tính của bạn thì đây là kết nối đi.

Để thực hiện việc này, hãy chọn Cài đặt nâng cao trong cửa sổ Tường lửa.

Để chặn tất cả các kết nối gửi đi, bạn cần chọn Tường lửa Windows với Bảo mật nâng cao ở cột bên trái và nhấp vào Thuộc tính ở cột bên phải.

Trong cửa sổ mở ra, hãy chuyển đến tab có cài đặt của mạng mong muốn (mạng công cộng - hồ sơ chung, mạng gia đình - hồ sơ riêng tư). Trong phần Kết nối đi, chọn Chặn từ menu thả xuống. Nhấn OK hoặc Áp dụng.

Để bảo mật tốt hơn, bạn có thể chặn các kết nối gửi đi trên cả hai mạng.

Giấy phép cho các chương trình

Sau khi chặn các kết nối gửi đi, chúng tôi cần cấp quyền truy cập Internet cho các chương trình chúng tôi sử dụng. Ví dụ: trình duyệt Google Chrome. Để thực hiện việc này, hãy đi tới Quy tắc dành cho kết nối đi ở bên trái và trong cột Hành động ở bên phải, nhấp vào Tạo quy tắc...

Trong trình hướng dẫn mở ra, hãy chọn Dành cho chương trình. Nhấp vào Tiếp theo >

Chỉ định đường dẫn đến chương trình:

%SystemRoot%\System32\svchost.exe

vì việc cập nhật được thực hiện theo quy trình này. Trong phần Dịch vụ, nhấp vào Cấu hình...

Trong cửa sổ mở ra, chọn Áp dụng cho một dịch vụ và chọn Windows Update trong danh sách (tên viết tắt - wuauserv). Bấm vào đồng ý.