- Artikel
- Gäller för:
- ✅Windows 11, ✅Windows 10, ✅Windows Server 2022, ✅Windows Server 2019, ✅Windows Server 2016
Windows Defender-brandvägg med avancerad säkerhet tillhandahåller värdbaserad, tvåvägsnätverkstrafikfiltrering och blockerar obehörig nätverkstrafik som flödar in i eller ut från den lokala enheten. Att konfigurera din Windows-brandvägg baserat på följande bästa praxis kan hjälpa dig att optimera skyddet för enheter i ditt nätverk. Dessa rekommendationer täcker ett brett utbud av distributioner inklusive hemnätverk och företagsskrivbord/serversystem.
För att öppna Windows-brandväggen, gå tillStartmenyn, väljSpringa,typWF.msc, och välj sedanOK. Se ävenÖppna Windows-brandväggen.
Behåll standardinställningarna
När du öppnar Windows Defender-brandväggen för första gången kan du se standardinställningarna för den lokala datorn. Panelen Översikt visar säkerhetsinställningar för varje typ av nätverk som enheten kan ansluta till.
Bild 1: Windows Defender-brandvägg
- Domänprofil: Används för nätverk där det finns ett system för kontoautentisering mot en Active Directory-domänkontrollant
- Privat profil: Designad för och används bäst i privata nätverk som ett hemnätverk
- Allmän profil: Designad med högre säkerhet i åtanke för offentliga nätverk, som Wi-Fi-hotspots, kaféer, flygplatser, hotell eller butiker
Se detaljerade inställningar för varje profil genom att högerklicka på den översta nivånWindows Defender-brandvägg med avancerad säkerhetnod i den vänstra rutan och välj sedanEgenskaper.
Behåll standardinställningarna i Windows DefenderFirewall när det är möjligt. Dessa inställningar har utformats för att säkra din enhet för användning i de flesta nätverksscenarier. Ett viktigt exempel är standardblockbeteendet för inkommande anslutningar.
Figur 2: Standardinställningar för inkommande/utgående
Viktig
För att upprätthålla maximal säkerhet, ändra inte standardinställningen för blockering för inkommande anslutningar.
För mer om att konfigurera grundläggande brandväggsinställningar, seSlå på Windows-brandväggen och konfigurera standardbeteendeochChecklista: Konfigurera grundläggande brandväggsinställningar.
Förstå regelföreträde för inkommande regler
I många fall kommer ett nästa steg för administratörer att vara att anpassa dessa profiler med regler (ibland kallade filter) så att de kan arbeta med användarappar eller andra typer av programvara. Till exempel kan en administratör eller användare välja att lägga till en regel för att passa ett program, öppna en port eller protokoll eller tillåta en fördefinierad typ av trafik.
Denna uppgift att lägga till regel kan utföras genom att högerklicka antingenInkommande reglerellerUtgående regleroch väljaNy regel. Gränssnittet för att lägga till en ny regel ser ut så här:
Figur 3: Guiden för att skapa regler
Notera
Den här artikeln täcker inte steg-för-steg-regelkonfiguration. Se denWindows-brandvägg med avancerad säkerhetsdistributionsguideför allmän vägledning om policyskapande.
I många fall kommer det att krävas särskilda typer av inkommande trafik för att applikationer ska fungera i nätverket. Administratörer bör tänka på följande regelföreträde när de tillåter dessa inkommande undantag.
- Explicit definierade tillåtelseregler kommer att ha företräde framför standardblockinställningen.
- Explicita blockeringsregler kommer att ha företräde framför alla motstridiga tillåtna regler.
- Mer specifika regler kommer att ha företräde framför mindre specifika regler, förutom om det finns explicita blockregler som nämns i 2. (Till exempel om parametrarna för regel 1 inkluderar ett IP-adressintervall, medan parametrarna för regel 2 inkluderar en enda IP-värd adress, regel 2 har företräde.)
På grund av 1 och 2 är det viktigt att du, när du utformar en uppsättning policyer, ser till att det inte finns några andra explicita blockregler som oavsiktligt kan överlappa varandra, vilket förhindrar det trafikflöde du vill tillåta.
En allmän bästa praxis för säkerhet när du skapar inkommande regler är att vara så specifik som möjligt. Men när nya regler måste göras som använder portar eller IP-adresser, överväg att använda på varandra följande intervall eller subnät istället för individuella adresser eller portar där så är möjligt. Detta tillvägagångssätt undviker skapandet av flera filter under huven, minskar komplexiteten och hjälper till att undvika prestandaförsämring.
Notera
Windows Defender-brandväggen stöder inte traditionell viktad, administratörstilldelad regelordning. En effektiv policyuppsättning med förväntade beteenden kan skapas genom att ha de få, konsekventa och logiska regelbeteenden som beskrivs ovan i åtanke.
Skapa regler för nya applikationer innan den första lanseringen
Regler för inkommande tillåtelse
När de installeras första gången skickar nätverksanslutna applikationer och tjänster ett lyssningsanrop som anger protokollet/portinformationen som krävs för att de ska fungera korrekt. Eftersom det finns en standardblockeringsåtgärd i Windows Defender-brandväggen är det nödvändigt att skapa inkommande undantagsregler för att tillåta denna trafik. Det är vanligt att appen eller själva appinstallatören lägger till denna brandväggsregel. Annars måste användaren (eller brandväggsadministratören på uppdrag av användaren) skapa en regel manuellt.
Om det inte finns någon aktiv applikation eller administratörsdefinierade tillåtelseregler, kommer en dialogruta att uppmana användaren att antingen tillåta eller blockera ett programs paket första gången appen startas eller försöker kommunicera i nätverket.
Om användaren har administratörsbehörigheter kommer de att uppmanas. Om de svararNejeller avbryt uppmaningen skapas blockregler. Två regler skapas vanligtvis, en vardera för TCP- och UDP-trafik.
Om användaren inte är en lokal administratör kommer de inte att uppmanas. I de flesta fall kommer blockregler att skapas.
I något av scenarierna ovan, när dessa regler väl har lagts till måste de tas bort för att prompten ska kunna genereras igen. Om inte kommer trafiken att fortsätta att vara blockerad.
Notera
Brandväggens standardinställningar är utformade för säkerhet. Genom att tillåta alla inkommande anslutningar som standard introduceras nätverket för olika hot. Därför bör skapande av undantag för inkommande anslutningar från programvara från tredje part bestämmas av pålitliga apputvecklare, användaren eller administratören å användarens vägnar.
Kända problem med automatisk regelskapande
När du utformar en uppsättning brandväggspolicyer för ditt nätverk är det en bästa praxis att konfigurera tillåtelseregler för alla nätverksprogram som distribueras på värden. Att ha dessa regler på plats innan användaren först startar applikationen hjälper till att säkerställa en sömlös upplevelse.
Avsaknaden av dessa stegvisa regler betyder inte nödvändigtvis att en applikation i slutändan inte kommer att kunna kommunicera på nätverket. De beteenden som är involverade i det automatiska skapandet av programregler vid körning kräver dock användarinteraktion och administrativ behörighet. Om enheten förväntas användas av icke-administrativa användare, bör du följa bästa praxis och tillhandahålla dessa regler innan programmets första lansering för att undvika oväntade nätverksproblem.
För att avgöra varför vissa applikationer blockeras från att kommunicera i nätverket, kontrollera följande instanser:
- En användare med tillräckliga privilegier får ett frågemeddelande som informerar dem om att applikationen behöver göra en ändring av brandväggspolicyn. Om användaren inte förstår uppmaningen till fullo avbryter eller avvisar användaren uppmaningen.
- En användare saknar tillräckliga privilegier och uppmanas därför inte att tillåta programmet att göra lämpliga policyändringar.
- Local Policy Merge är inaktiverat, vilket förhindrar applikationen eller nätverkstjänsten från att skapa lokala regler.
Skapande av programregler under körning kan också förbjudas av administratörer som använder appen Inställningar eller gruppolicy.
Figur 4: Dialogruta för att tillåta åtkomst
Se ävenChecklista: Skapa inkommande brandväggsregler.
Upprätta lokala policysammanslagningar och tillämpningsregler
Brandväggsregler kan distribueras:
- Lokalt med Firewall-snapin-modulen (WF.msc)
- Lokalt med PowerShell
- Fjärranvända grupprincip om enheten är medlem i ett Active Directory-namn, System Center Configuration Manager eller Intune (med workplace join)
Inställningar för regelsammanslagning styr hur regler från olika policykällor kan kombineras. Administratörer kan konfigurera olika sammanfogningsbeteenden för domän-, privata och offentliga profiler.
Regelsammanslagningsinställningarna tillåter eller förhindrar lokala administratörer från att skapa sina egna brandväggsregler utöver de regler som erhålls från grupprincipen.
Figur 5: Inställning för regelsammanfogning
Dricks
I brandväggenkonfigurationstjänstleverantör, är motsvarande inställningAllowLocalPolicyMerge. Den här inställningen finns under respektive profilnod,DomainProfile,Privatprofil, ochAllmän profil.
Om sammanslagning av lokala policyer är inaktiverat krävs centraliserad distribution av regler för alla appar som behöver inkommande anslutning.
Administratörer kan inaktiveraLocalPolicyMergei högsäkerhetsmiljöer för att upprätthålla strängare kontroll över endpoints. Den här inställningen kan påverka vissa applikationer och tjänster som automatiskt genererar en lokal brandväggspolicy vid installation som diskuterats ovan. För att dessa typer av appar och tjänster ska fungera bör administratörer driva regler centralt via grupppolicy (GP), Mobile DeviceManagement (MDM) eller båda (för hybrid- eller samhanteringsmiljöer).
Brandvägg CSPochPolicy CSPhar också inställningar som kan påverka regelsammanslagning.
Som en bästa praxis är det viktigt att lista och logga sådana appar, inklusive nätverksportar som används för kommunikation. Vanligtvis kan du hitta vilka portar som måste vara öppna för en given tjänst på appens hemsida. För mer komplexa eller kundapplikationsinstallationer kan en mer grundlig analys behövas med hjälp av nätverkspaketinsamlingsverktyg.
I allmänhet, för att upprätthålla maximal säkerhet, bör administratörer endast driva brandväggsundantag för appar och tjänster som har fastställts för att tjäna legitima syften.
Notera
Användningen av jokerteckenmönster, som t.exC:*\teams.exestöds inte i tillämpningsregler. Vi stöder för närvarande bara regler skapade med den fullständiga sökvägen till applikationen/applikationerna.
Vet hur man använder "shields up"-läge för aktiva attacker
En viktig brandväggsfunktion som du kan använda för att lindra skador under en aktiv attack är "shields up"-läget. Det är en informell term som syftar på en enkel metod som en brandväggsadministratör kan använda för att tillfälligt öka säkerheten inför en aktiv attack.
Sköldar upp kan uppnås genom att kontrolleraBlockera alla inkommande anslutningar, inklusive de i listan över tillåtna apparinställning som finns i antingen appen Windows Settings eller den äldre filenbrandvägg.cpl.
Figur 6: Windows-inställningar App/Windows Säkerhet/Brandväggsskydd/Nätverkstyp
Figur 7: Äldre brandvägg.cpl
Som standard blockerar Windows Defender-brandväggen allt såvida det inte skapas en undantagsregel. Den här inställningen åsidosätter undantagen.
Till exempel skapar funktionen för fjärrskrivbord automatiskt brandväggsregler när den är aktiverad. Men om det finns en aktiv exploatering som använder flera portar och tjänster på en värd, kan du istället för att inaktivera individuella regler, använda shields up-läget för att blockera alla inkommande anslutningar, och åsidosätta tidigare undantag, inklusive reglerna för Remote Desktop. Reglerna för fjärrskrivbord förblir intakta men fjärråtkomst fungerar inte så länge shields up är aktiverat.
När nödsituationen är över, avmarkera inställningen för att återställa vanlig nätverkstrafik.
Skapa utgående regler
Det som följer är några allmänna riktlinjer för att konfigurera utgående regler.
- Standardkonfigurationen av blockerade för utgående regler kan övervägas för vissa mycket säkra miljöer. Konfigurationen av inkommande regel bör dock aldrig ändras på ett sätt som tillåter trafik som standard
- Det rekommenderas att tillåta utgående som standard för de flesta implementeringar för att förenkla appimplementeringar, såvida inte företaget föredrar stränga säkerhetskontroller framför användarvänlighet
- I högsäkerhetsmiljöer måste en inventering av alla företagsomspännande appar tas och loggas av administratören eller administratörerna. Register måste innehålla om en app som används kräver nätverksanslutning. Administratörer måste skapa nya regler specifika för varje app som behöver nätverksanslutning och driva dessa regler centralt, via grupppolicy (GP), Mobile Device Management (MDM) eller båda (för hybrid- eller samhanteringsmiljöer)
För uppgifter relaterade till att skapa utgående regler, seChecklista: Skapa regler för utgående brandvägg.
Dokumentera dina ändringar
När du skapar en inkommande eller utgående regel bör du ange detaljer om själva appen, portintervallet som används och viktiga anteckningar som skapelsedatum. Reglerna måste vara väldokumenterade för att underlätta granskning av både dig och andra administratörer. Vi rekommenderar starkt att du tar dig tid att göra arbetet med att se över dina brandväggsregler vid ett senare tillfälle enklare. Ochaldrigskapa onödiga hål i din brandvägg.