Тонкости реестра Windows Vista. Трюки и эффекты
Шрифт:
Основные настройки профиля брандмауэра хранятся в следующих параметрах REG_DWORD-типа ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»:
• EnableFirewall – если значение данного параметра равно 0, то стандартный брандмауэр будет отключен для данного профиля;
• DoNotAllowExceptions – при установке значения этого параметра равным 1 исключения не будут учитываться при работе брандмауэра для данного профиля;
• DisableNotification –
• DisableUnicastResponsesToMulticastBroadcast – при установке значения этого параметра равным 1 брандмауэр будет блокировать одноадресные ответы на многоадресные запросы, посланные вашим компьютером.
Кроме того, можно настроить параметры ведения файла журнала по работе брандмауэра. Для этого применяются следующие параметры ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\Logging:
• LogFilePath – этот параметр строкового типа позволяет определить путь к файлу журнала брандмауэра;
• LogDroppedPackets – если значение данного параметра REG_DWORD-типа равно 1, то в файл журнала брандмауэра будет заноситься информация об отброшенных пакетах;
• LogSuccessfulConnections – если значение данного параметра REG_DWORD-типа равно 0, то информация об успешных подключениях не будет заноситься в файл журнала брандмауэра;
• LogFileSize – значение данного параметра REG_DWORD-типа определяет максимальный возможный размер файла журнала (в килобайтах).
Можно также определить пакеты протокола ICMP, которые брандмауэру будет разрешено принимать. Для этого применяются следующие параметры REG_DWORD-типа ветви HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\IcmpSettings:
• AllowInboundEchoRequest – если значение данного параметра равно 0, то будут запрещены входящие эхо-запросы;
• AllowInboundMaskRequest – при установке значения этого параметра равным 0 будут запрещены входящие запросы маски;
• AllowInboundRouterRequest – если значение данного параметра равно 0, то будут запрещены входящие запросы маршрутизатора;
• AllowInboundTimestampRequest – при установке значения этого параметра равным 0 будут запрещены входящие запросы штампа времени;
• AllowOutboundDestinationUnreachable – если значение данного параметра равно 0, то будут запрещены ответы о недостижимости узла назначения;
• AllowOutboundPacketTooBig – при установке значения этого параметра равным 0 будут запрещены слишком большие исходящие пакеты.
• AllowOutboundParameterProblem – если значение данного параметра равно 0, то будут запрещены исходящие пакеты параметров проблем;
• AllowOutboundSourceQuench – при установке значения этого параметра
• AllowOutboundTimeExceeded – если значение данного параметра равно 0, то будут запрещены исходящие пакеты истечения времени;
• AllowRedirect – при установке значения этого параметра равным 0 будут запрещены пакеты перенаправления.
Последний набор параметров позволяет определить программы и порты исключения, работа через которые не будет блокироваться стандартным брандмауэром.
Например, можно определить, будут ли использоваться локальные списки программ и портов-исключений, после чего указать списки исключений, которые будут учитываться всегда.
Программы.исключения. Чтобы запретить использование локальных программ-исключений, достаточно параметру REG_DWORD-типа AllowUserPrefMerge присвоить значение 0. Данный параметр расположен в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\AuthorizedApplications.
После этого можно указать список программ-исключений, которые всегда будут учитываться брандмауэром Windows. Для этого достаточно воспользоваться параметрами строкового типа ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\AuthorizedApplications\List.
Порты.исключения. Чтобы запретить использование локальных портов-исключений, достаточно параметру REG_DWORD-типа AllowUserPrefMerge присвоить значение 0. Параметр расположен в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\GloballyOpenPorts.
После этого можно указать список портов-исключений, которые всегда будут учитываться брандмауэром Windows. Для этого достаточно воспользоваться параметрами строкового типа ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\GloballyOpenPorts\List.
Службы.исключения. Существует возможность запретить или разрешить работу в сети некоторых стандартных служб операционной системы. Для этого воспользуйтесь параметром REG_DWORD-типа Enabled. Если значение данного параметра равно 1, то работа соответствующей службы в сети будет разрешена.
Данный параметр может находиться в следующих ветвях реестра:
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\Services\FileAndPrint – определяет разрешения входящего доступа для службы файлов и принтеров (порты UDP 137 и 138, и порты TCP 139 и 445);
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\«профиль брандмауэра»\RemoteAdminSettings – задает разрешения входящего доступа для службы удаленного администрирования данного компьютера с помощью WMI (порты TCP 135 и 445);