Uneori, un firewall va bloca accesul la internet a aplicațiilor de încredere, dar în Windows 10 este foarte ușor să vă schimbați setările pentru a permite manual unei aplicații să funcționeze prin firewall. Iată cum să o faci.

Windows 10 oferă o serie de funcții de securitate pentru a vă proteja dispozitivul și datele împotriva accesului neautorizat, a programelor malware și a altor atacuri cu un firewall încorporat. În timp ce paravanul de protecție încorporat face o treabă bună controlând aplicațiile și funcțiile care pot comunica prin rețea, uneori poate fi necesar să permiteți sau să refuzați manual aplicațiile.

În acest ghid, veți învăța cum să permiteți sau să blocați accesul aplicațiilor la rețeaua dvs. prin configurarea firewall-ului în Windows 10.

Permite aplicațiilor să comunice cu Windows Defender Firewall.

Pentru a activa o aplicație sau o funcție de încredere prin firewall-ul încorporat în Windows 10, urmați acești pași:

Pasul 1: Deschis " Centrul de securitate Windows Defender".

Pasul 2: presa „Firewall și securitatea rețelei”.

Pasul 4:În fereastră, faceți clic pe butonul "Schimbă setările".

Pasul 5:În listă, găsiți aplicația sau caracteristica pe care doriți să o permiteți prin firewall.

Sfat rapid: Dacă aplicația nu este listată, faceți clic pe butonul „Permite altă aplicație” pentru a găsi aplicația care trebuie să aibă acces la Internet.

Pasul 6: Selectați ce tip de rețea poate accesa aplicația:

• Privat: Permite unui utilizator să acceseze o rețea de acasă sau de la serviciu ai cărei utilizatori și dispozitive sunt de încredere și sunt cunoscute de dvs.
• Public: Permite utilizatorului să acceseze rețeaua într-un loc public, cum ar fi o cafenea sau un hotel.

Pasul 7: Faceți clic pe butonul "BINE".

Odată ce ați finalizat pașii de mai sus, aplicația va putea acum accesa liber rețeaua.

Dacă doriți să blocați o aplicație să ruleze prin firewall, puteți selecta aplicația dorită și faceți clic pe butonul "Șterge" sau urmați aceleași instrucțiuni, dar pasul 6 Asigurați-vă că debifați caseta corespunzătoare pentru o aplicație sau o funcție dacă trebuie să împiedicați accesul la Internet.

Acest ghid se concentrează pe configurarea Windows 10 Firewall, dar în cazul în care aveți o altă soluție de securitate, asigurați-vă că verificați instrucțiunile de pe site-ul de asistență al furnizorului.

Există cazuri când utilizatorii obișnuiți trebuie să ruleze anumite programe sau aplicații care necesită drepturi administrative pentru funcționalitatea lor normală. Cu toate acestea, este extrem de nedorit să notificați parola administrativă în astfel de situații și să furnizați un cont administrativ. Dar totuși există o cale de ieșire. Puteți folosi un utilitar foarte simplu, mic și, cel mai important, gratuit RunAsTool. Acest program vă permite să acordați orice nivel de drepturi pentru o anumită listă de programe.

Să ne uităm la cum funcționează.

Imediat după pornirea programului, este posibil să primiți următorul mesaj.

Acest mesaj înseamnă că sistemul nu are un cont administrativ protejat prin parolă. Prin urmare, dacă primiți acest mesaj, pur și simplu găsiți secțiunea din panoul de control care este responsabilă pentru conturi: „Conturi de utilizator” și setați o parolă pentru contul de administrator. De asemenea, puteți utiliza această funcție direct din program făcând clic pe butonul „Da”, care va afișa fereastra de setări necesare din sistem.

După ce parola a fost setată, puteți actualiza lista de administratori făcând clic pe butonul săgeată din fereastra programului sau pur și simplu reporniți utilitarul. În cazul în care aveți mai multe conturi administrative, atunci în lista derulantă îl puteți selecta pe cel sub care vor fi lansate toate programele/aplicațiile. Acum, pentru a configura utilitarul în modul de editare, va trebui să introduceți parola contului administrativ selectat.

În viitor, aceste acreditări vor fi folosite de utilitar pentru a lansa programe ca administrator.

În modul de editare, este posibil să adăugați programe în listă fie utilizând meniul „Fișier” -> „Adăugare”, fie pur și simplu trăgând comanda rapidă a aplicației în fereastra din stânga a utilitarului. După aceea, toate informațiile necesare despre lansarea aplicației selectate vor apărea în partea dreaptă a ferestrei programului.

Principalul lucru este să vă asigurați că va fi lansat ca Administrator, în cazul în care există o altă setare.

De asemenea, trebuie să vă asigurați că acest utilitar poate fi rulat din alte conturi neprivilegiate. Dar în acest scop, o astfel de setare în interfață precum crearea unei comenzi rapide pentru desktop poate servi. După selectarea acestei instalări, toți utilizatorii obișnuiți ar trebui să aibă o comandă rapidă pe desktop-ul lor pentru a lansa utilitarul, oferind acces rapid la lista de programe privilegiate.

Când utilizatorii obișnuiți folosesc RunAsTool, ei nu vor vedea modul de editare. Acești utilizatori vor avea acces doar la o fereastră simplă cu pictograme de program pe care o pot rula cu drepturi administrative. Dar dacă este nevoie să reveniți la modul de editare și să schimbați lista de programe sau alte setări, acest lucru se poate face cu ușurință prin meniul „Fișier” -> „Activați modul de editare”, la care utilitarul vă va cere să re- introduceți parola.

Puteți verifica cu ușurință funcționalitatea acestei metode folosind managerul de activități, deoarece afișează informații despre utilizatorul care a lansat acest sau acel proces/aplicație. Unde devine evident modul în care aplicațiile dintr-un cont sunt lansate în numele altui utilizator.

Am fost entuziasmat de această idee de a asigura securitatea și am decis să încerc să fac același lucru pentru mine.

Deoarece am Windows 7 Professional, prima idee a fost să folosesc AppLocker, dar a devenit rapid clar că nu vrea să funcționeze în ediția mea de Windows și necesită Ultimate sau Enterprise. portofelul meu, opțiunea cu AppLocker" om a dispărut.

Următoarea încercare a fost configurarea politicilor de grup pentru restricțiile software. Întrucât AppLocker este o versiune „pumplă” a acestui mecanism, este logic să încercăm politicile, mai ales că sunt gratuite pentru utilizatorii de Windows :)

Mergi la Setari:
gpedit.msc -> Configurare computer -> Configurare Windows -> Setări de securitate -> Politici de restricție software

Dacă nu există reguli, sistemul va oferi să genereze reguli automate care să permită lansarea programelor din folderul Windows și Program Files. Vom adăuga, de asemenea, o regulă de refuzare pentru calea * (orice cale). Drept urmare, dorim să putem rula programe numai din folderele de sistem protejate. Si ce?
Da, asta vom obține, dar există doar o mică problemă - comenzile rapide și linkurile http nu funcționează. Încă poți uita de link-uri, dar viața fără comenzi rapide este destul de proastă.
Dacă permitem lansarea fișierelor folosind masca *.lnk, vom putea crea o comandă rapidă pentru orice fișier executabil și vom putea să o rulăm folosind comanda rapidă, chiar dacă nu se află în folderul de sistem. Prost.
O interogare Google duce la următoarele decizii: fie permiteți lansarea comenzilor rapide dintr-un folder de utilizator, fie folosiți bare de la terți cu comenzi rapide. Nici o alta cale. Personal, nu-mi place această opțiune.

Drept urmare, ne confruntăm cu situația că *.lnk, din punctul de vedere al Windows, nu este o legătură către un fișier executabil, ci un fișier executabil. E o nebunie, dar ce poți face... Aș dori ca Windows să verifice nu locația comenzii rapide, ci locația fișierului la care se referă.

Și atunci am dat întâmplător de setările pentru lista de extensii care sunt executabile din punct de vedere al Windows (gpedit.msc -> Configurare computer -> Configurare Windows -> Setări de securitate -> Tipuri de fișiere atribuite). Îndepărtăm LNK de acolo și în același timp HTTP și conectăm. Primim comenzi rapide complet funcționale și o verificare a locației fișierului executabil.
A existat o îndoială dacă ar fi posibilă trecerea parametrilor prin comenzi rapide - este posibil, deci totul este ok.

Drept urmare, am obținut implementarea ideii descrise în articolul „Computer Windows fără antivirus” fără niciun inconvenient pentru utilizator.

De asemenea, pentru cei cărora le place să se împuște singuri în picior, puteți crea un folder în Fișiere de program și puteți arunca o comandă rapidă pentru acesta pe desktop, numindu-l, de exemplu, „Sandbox”. Acest lucru vă va permite să rulați programe de acolo fără a dezactiva politicile, folosind stocarea protejată (protecție prin UAC).

Sper că metoda descrisă va fi utilă și nouă pentru cineva. Cel puțin nu am auzit despre asta de la nimeni și nu l-am văzut nicăieri.

Pentru a reduce cumva probabilitatea de infectare cu virus, trebuie să permiteți anumitor utilizatori să ruleze fișiere executabile numai din anumite locuri, și anume
c:\fișiere de program
c:\windows
de la unitățile de rețea, în cazul meu, acești utilizatori au drepturi de numai citire asupra acestor unități, deci aceste fișiere sunt verificate.

Abilitatea de a defini politicile de restricție software SRP pentru computerele dvs. client pentru a controla ce programe sunt permise și refuzate să ruleze

O fac prin politica de grup.

1. A creat un GPO (Obiect de politică de grup)

orez. 1

2. S-au adăugat utilizatori cărora li se va aplica această politică.

Fig.2

3. Editez politica creată. Aplic politici utilizatorului, așa că le modific în Configurarea utilizatorului.
Deschideți Configurare utilizator - Setări Windows - Setări de securitate - Politici privind restricțiile software
Mai întâi spune că trebuie să-l creați mai întâi.

Fig.3

Creați-l cu butonul din dreapta al mouse-ului

Fig.4

4. În mod implicit, această politică vă permite să rulați fără restricții, așa că accesați
Nivel de securitate și setați politica implicită pentru a interzice lansarea din orice locație.

Fig.6

Adevărat, nu interzice totul, dar adaugă câteva reguli care nu sunt recomandate a fi schimbate dacă nu înțelegeți ce este, altfel vor apărea probleme. iar aceste reguli sunt create în folderul Reguli suplimentare

Fig.7

5. În folderul Reguli suplimentare, adăugați propriile reguli de unde puteți rula fișiere executabile. Faceți clic dreapta pentru a crea o nouă cale

Fig.8

Am adăugat %PROGRAMFILES%\* (aceasta este calea către folderul Program Files)

orez. 9

Fig.10

Acum să verificăm.
Ne conectăm cu contul de utilizator căruia i-am atribuit această politică.
Sau dacă v-ați conectat deja la computer cu acest cont, atunci puteți pur și simplu să actualizați Politica de grup: din linia de comandă
gpupdate /Force

Am verificat, se pare că aplicațiile sunt lansate din folderele specificate, dar s-a dovedit că dacă încercați să lansați un program dintr-o comandă rapidă (start - programe - Microsoft Office) și comanda rapidă în sine se află într-un folder din care programele nu poate fi lansat, atunci nici programul nu pornește, așa că permit și foldere

%ALLUSERSPROFILE%\* (locația Start -> Programe din profilul „Toți utilizatorii”)
C:\Documents and Settings\Default User\Start Menu\* (locație Start ->
C:\Documents and Settings\Default User\Desktop\* (locația desktopului în profilul „Utilizator implicit”)
C:\Documents and Settings\Default User\Main Menu\* (situat Start -> Programs în profilul „Default User”)
C:\Documents and Settings\Default User\Desktop\* (locația desktopului în profilul „Utilizator implicit”)
%USERPROFILE%\Start Menu\* (locație Start ->
%USERPROFILE%\Main Menu\* (locație Start -> Programs în profilul utilizatorului conectat)
%USERPROFILE%\Desktop\* (plasarea desktopului în profilul utilizatorului conectat)
%USERPROFILE%\Desktop\* (locația desktopului în profilul utilizatorului conectat)

De asemenea, permit locuri de rețea din care să ruleze
\\server de nume\dosar\*

În general, există dezavantaje aici:
Dacă copiați fișierul în folderul unde îl puteți rula, atunci acesta va rula în mod natural. Dar folosesc această metodă pentru a preveni lansarea virusului, de exemplu, pe o unitate flash sau în folderul de rețea de acasă al utilizatorului.

Limitări SRP

Există, de asemenea, câteva limitări SRP de luat în considerare. Domeniul de aplicare al politicilor de restricție software nu este întregul sistem de operare, așa cum v-ați putea aștepta. SRP nu se aplică următorului cod:

* Drivere sau alt software instalat în modul kernel
* Orice program care rulează sub contul SYSTEM
* Macro-urile din documentele Microsoft Office (avem alte modalități de a le bloca folosind politici de grup)
* Programe scrise pentru runtime de limbaj comun (aceste programe folosesc Politica de securitate pentru accesul la cod)

Unele acțiuni ale programelor obișnuite pot fi clasificate Kaspersky Total Security la fel de periculos. Dacă Kaspersky Total Security blochează funcționarea programului și sunteți sigur de siguranța acestuia, adăugați programul la lista celor de încredere sau creați o regulă de excepție pentru el.

După adăugarea unui program la lista de de încredere Kaspersky Total Security oprește monitorizarea fișierului și a activității de rețea a acestui program, precum și accesul acestuia la registru. În același timp, fișierul executabil al programului continuă să fie scanat pentru viruși. Dacă doriți să excludeți complet un program de la scanare, creați o regulă de excludere pentru acesta.

Pentru a adăuga un program la lista de încredere, urmați acești pași:

1. La fereastră Setări mergi la sectiune Protecţieși selectați Amenințări și excepții.

1. La fereastră Setări de amenințare și excludere apasa pe link Specificați programe de încredere.

1. La fereastră Programe de încredere faceți clic pe butonul Adăuga.

1. Specificați fișierul executabil al aplicației de încredere făcând clic pe link Revizuire sau selectând un program din listă (se afișează programele care rulează în prezent).

1. La fereastră Excepții de program definiți parametrii pentru aplicarea regulii bifând casetele necesare:
   • Nu verificați fișierele deschise- excludeți de la scanare toate fișierele care sunt deschise printr-un proces de aplicație de încredere.
   • Nu controlați activitatea programului Monitorizarea activitatii orice activitate (inclusiv suspectă) efectuată de o aplicație de încredere.
   • Nu moșteniți restricțiile procesului părinte (program) - activitatea programului este controlată conform regulilor specificate de utilizator. Dacă caseta de selectare este debifată, programul respectă regulile programului care l-a lansat.
   • Nu controlați activitatea programelor pentru copii- excludeți de la testare în cadrul funcționării componentei Monitorizarea activitatii orice activitate (inclusiv suspectă) efectuată de procesele copil ale unei aplicații de încredere.
   • Permite interacțiunile interfeței Kaspersky Total Security.
   • Nu verificați tot traficul- excludeți traficul de rețea inițiat de o aplicație de încredere de la scanarea pentru viruși și spam. Când se verifică Nu verificați tot traficul Traficul aplicației specificate NU este verificat doar activat virusuriȘi spam. Totuși, acest lucru nu afectează controlul traficului de către componentă Firewall, în conformitate cu parametrii cărora se analizează activitatea de rețea a acestui program.
   • Pentru a exclude numai traficul de rețea criptat de la scanare, faceți clic pe link Nu verificați tot traficulși selectați Nu verifica trafic criptat, în acest fel doar trafic criptat (folosind protocolul SSL/TSL)
   • În plus, puteți limita excepția la o anumită adresă IP/port la distanță:
     • Pentru a nu verifica o anumită adresă IP, bifați caseta de selectare Numai pentru adresele IP specificate, și apoi introduceți adresa IP în câmp.
     • Pentru a nu scana anumite porturi, bifați caseta de selectare Doar pentru porturile specificateși introduceți porturile în câmp separate prin virgule.
2. La fereastră Excepții de program faceți clic pe butonul Adăuga.

1. Închideți ferestrele programului.

ÎN Kaspersky Total Security implicit la programele de încredere cu parametrul Nu scanați traficul de rețea criptat fișier adăugat %SystemRoot%\system32\svchost.exe- fișier executabil de serviciu de sistem Actualizare Microsoft Windows. Traficul protejat al acestui serviciu nu este disponibil pentru scanare de către niciun software antivirus. Dacă nu este creată o regulă de autorizare pentru acest serviciu, funcționarea acestui serviciu se va încheia cu o eroare.