ь на комп'ютери користувачів, виникає необхідність відкрити деякі порти на комп'ютерах з встановленою Windows XP SP2. Для вирішення цього завдання необхідно задати виключення в налаштуваннях брандмауера Windows. Існує два способи вирішити цю задачу:
1. Можна задати виключення, вказавши програму, що вимагає вхідні з'єднання. У цьому випадку брандмауер сам визначить, які порти необхідно відкрити, і відкриє їх тільки на час виконання зазначеної програми (точніше, на час, коли програма буде прослуховувати цей порт).
2. Можна задати виключення, вказавши конкретний порт, по якому програма очікує вхідні з'єднання. У цьому випадку порт буде відкритий завжди, навіть коли ця програма не буде запущена. З точки зору безпеки цей варіант менш кращий.
Існує кілька способів задати виключення в налаштуваннях брандмауера Windows. Можна скористатися графічним інтерфейсом. Цей варіант досить докладно висвітлений у Центрі довідки та підтримки Windows XP SP2. Можна використовувати доменну групову політику. Цей варіант кращий при великій кількості комп'ютерів в організації. Розглянемо його більш докладно. p align="justify"> Параметри Брандмауера Windows у груповій політиці розміщуються у вузлі В«Конфігурація комп'ютера, Адміністративні шаблони, Мережа, Мережеві підключення, Брандмауер WindowsВ».
При налаштуванні через групову політику вам необхідно налаштувати два профілі:
1. Профіль домену. Налаштування цього профілю використовуються, коли комп'ютер підключений до мережі, що містить контролер домену організації.
2. Стандартний профіль. Налаштування цього профілю застосовуються, коли комп'ютер не підключений до мережі, що містить контролер домену організації. Наприклад, якщо ноутбук організації використовується у відрядженні і приєднаний до Інтернету через Інтернет-провайдера. У цьому випадку налаштування брандмауера повинні бути більш суворими порівняно з настройками доменного профілю, так як комп'ютер підключається до публічної мережі, минаючи міжмережеві екрани своєї організації.
Розглянемо, як задати виключення для програми і для заданого порту. В якості конкретного прикладу візьмемо звернення Сервера адміністрування KasperskyAdministrationKit до комп'ютера, на якому встановлений Агент адміністрування, для отримання інформації про стан антивірусного захисту. У цьому випадку необхідно, щоб на клієнтському комп'ютері був відкритий порт UDP 15000 або дозволений прийом вхідних повідомлень програмою В«C: Program Files KasperskyLab NetworkAgent klnagent.exeВ». p align="justify"> Створення винятки для програми
Набудуємо параметри групової політики так, щоб брандмауер завжди працював, але...
