Как отключить брандмауэр через командную строку

Как отключить брандмауэр Windows 11

Отключение брандмауэра в окне «Безопасность Windows»

Стандартный способ, позволяющий быстро отключить брандмауэр — использование окна «Безопасность Windows» и соответствующие параметры в нём. Шаги будут следующими:

1. Откройте окно «Безопасность Windows». Сделать это можно, используя значок в области уведомлений панели задач или в «Параметры», в разделе Конфиденциальность и защита — Безопасность Windows — Открыть службу «Безопасность Windows».
2. Перейдите в раздел «Брандмауэр и безопасность сети».
3. Нажмите по профилю сети, который помечен как «Активный» (то есть используемый в настоящее время) или по любому другому профилю сети, для которого вы хотите отключить брандмауэр.
4. Переведите переключатель «Брандмауэр Microsoft Defender» в положение «Откл.» и подтвердите отключение.

На этом отключение брандмауэра для выбранного профиля сети будет выполнено.

Если для разных сетей вы используете разные профили, можно отключить брандмауэр для каждого из них — то есть и для частной сети, и для общедоступной сети.

Как полностью отключить брандмауэр Windows 11 в командной строке

Если требуется быстро отключить брандмауэр для всех профилей сети, сделать это можно с помощью командной строки:

netsh advfirewall set allprofiles state off

и нажмите Enter.

Результат выполнения команды — простое сообщение «Ок», но если вы зайдете в параметры «Брандмауэр и безопасность сети», сможете увидеть следующее состояние брандмауэра:

Как видим, брандмауэр Windows 11 полностью отключен. В дальнейшем, чтобы вновь включить его, можно тем же способом использовать команду

netsh advfirewall set allprofiles state on

В панели управления

Как и в предыдущих версиях системы, брандмауэр Windows 11 можно отключить в панели управления, для этого:

1. Откройте панель управления ( как это сделать в Windows 11).
2. Откройте пункт «Брандмауэр защитника Windows». Чтобы пункт отображался, выберите «Значки» в поле «Просмотр» панели управления.
3. В панели слева нажмите «Включение или отключение брандмауэра Защитника Windows».
4. Выберите «Отключить брандмауэр Защитника Windows» для частной и/или для общественной сети.

Примените настройки — на этом отключение брандмауэра будет выполнено.

Монитор брандмауэра защитника Windows в режиме повышенной безопасности

Еще одна возможность — использование монитора брандмауэра Защитника Windows в режиме повышенной безопасности для полного отключения брандмауэра Windows 11:

1. В поиске на панели задач начните набирать «повышенной безопасности» и нажмите по пункту «Монитор брандмауэра защитника Windows в режиме повышенной безопасности» в результатах поиска.
2. В открывшемся окне нажмите «Свойства брандмауэра защитника Windows».
3. В свойствах брандмауэра обратите внимание на вкладки — «Общий профиль», «Частный профиль», «Профиль домена». На каждой из них можно отключить брандмауэр и применить сделанные настройки.

Отключение в редакторе локальной групповой политики и редакторе реестра

Если у вас установлена Windows 11 Pro или Enterprise, вы можете отключить брандмауэр в редакторе локальной групповой политики. Необходимые шаги:

1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
2. В открывшемся редакторе локальной групповой политики перейдите к разделу Конфигурация компьютера — Административные шаблоны — Сеть — Сетевые подключения — Брандмауэр защитника Windows — Стандартный профиль (или Профиль домена, если отключение требуется не для частной и общественной сети, а для сети домена).
3. Дважды нажмите по параметру «Брандмауэр Защитника Windows: защита всех сетевых подключений», переключите политику в состояние «Отключено».
4. Примените настройки.

Если у вас установлена Домашняя редакция системы, то же самое вы можете сделать в редакторе реестра:

1. Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
2. В редакторе реестра перейдите к разделу

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft

В этом разделе создайте подраздел с именем WindowsFirewall (при его отсутствии).

Внутри него — подраздел StandardProfile (для частной и общественной сети) и/или DomainProfile (для сети домена).

В созданном подразделе создайте два параметра DWORD с именами EnableNotifications и EnableFirewall, установите их значения равными 0.

Закройте редактор реестра и перезагрузите компьютер.

Учитывайте, что при использовании этих методов, включение брандмауэра в параметрах или панели управления станет невозможным, там вы увидите информацию о том, что «Этим параметром управляет ваш администратор» и «Для обеспечения безопасности управление некоторыми параметрами осуществляет системный администратор».

Отключение службы брандмауэра

При желании вы можете полностью отключить службу Windows 11, отвечающую за работу брандмауэра. Для этого:

1. Запустите редактор реестра: нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите regedit и нажмите Enter.
2. Перейдите к разделу реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mpssvc

В правой панели дважды нажмите по параметру с именем Start и измените его значение на 4.

Закройте редактор реестра и перезагрузите компьютер.

Брандмауэр будет отключен, изменение его параметров стандартными средствами станет недоступным, а из панели «Безопасность Windows» соответствующая вкладка пропадет совсем.

И последнее: если отключение брандмауэра вам потребовалось для выполнения какой-то однократной задачи, рекомендую включить его обратно после её выполнения.

А вдруг и это будет интересно:

• Лучшие бесплатные программы для Windows
• Не удалось запустить службу Windows Audio на Локальный компьютер — как исправить?
• Ошибка DXGI ERROR DEVICE HUNG — как исправить?
• Как сбросить Windows на заводские настройки в командной строке
• Как создать отчет о работе Wi-Fi сети в Windows 11 и 10
• Устройство tap0901 — что это и как установить драйвер?

• Windows 11
• Windows 10
• Android
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Установка с флешки
• Настройка роутера
• Всё про Windows
• В контакте
• Одноклассники

• Живые обои на рабочий стол Windows 11 и Windows 10
• Лучшие бесплатные программы на каждый день
• Как скачать Windows 10 64-бит и 32-бит оригинальный ISO
• Как смотреть ТВ онлайн бесплатно
• Бесплатные программы для восстановления данных
• Лучшие бесплатные антивирусы
• Средства удаления вредоносных программ (которых не видит ваш антивирус)
• Встроенные системные утилиты Windows 10, 8 и 7, о которых многие не знают
• Бесплатные программы удаленного управления компьютером
• Запуск Windows 10 с флешки без установки
• Лучший антивирус для Windows 10
• Бесплатные программы для ремонта флешек
• Что делать, если сильно греется и выключается ноутбук
• Программы для очистки компьютера от ненужных файлов
• Лучший браузер для Windows
• Бесплатный офис для Windows
• Запуск Android игр и программ в Windows (Эмуляторы Android)
• Что делать, если компьютер не видит флешку
• Управление Android с компьютера

• Не удалось запустить службу Windows Audio на Локальный компьютер — как исправить?
• Как автоматически скрывать строку меню и Dock в MacOS
• Ошибка DXGI ERROR DEVICE HUNG — как исправить?
• Как сбросить Windows на заводские настройки в командной строке
• Как создать отчет о работе Wi-Fi сети в Windows 11 и 10
• Устройство tap0901 — что это и как установить драйвер?
• Клавиши Alt и Win поменялись местами — как исправить?
• Ошибка 0x80072efd — как исправить?
• AV Block Remover — убираем блокировку антивирусов и сайтов майнером
• Ошибка 0x80070643 при обновлении KB5034441 — как исправить?
• Загрузочная флешка или карта памяти в balenaEtcher
• RtkAudUService64.exe — что это в автозагрузке и списке процессов?
• Как включить звонки по Wi-Fi на iPhone
• Использование Kaspersky Rescue Disk для удаления вирусов с компьютера
• Как извлечь иконки из EXE и DLL файлов

• Windows
• Android
• iPhone, iPad и Mac
• Программы
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Ноутбуки
• Wi-Fi и настройка роутера
• Интернет и браузеры
• Для начинающих
• Безопасность
• Ремонт компьютеров

• Windows
• Android
• iPhone, iPad и Mac
• Программы
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Ноутбуки
• Wi-Fi и настройка роутера
• Интернет и браузеры
• Для начинающих
• Безопасность
• Ремонт компьютеров

Управление брандмауэром Windows с помощью командной строки

В этой статье приведены примеры управления брандмауэром Windows с помощью PowerShell и netsh.exe , которые можно использовать для автоматизации управления брандмауэром Windows.

Настройка глобальных значений по умолчанию профиля

Глобальные значения по умолчанию задают поведение устройства для каждого профиля. Брандмауэр Windows поддерживает доменные, частные и общедоступные профили.

Брандмауэр Windows удаляет трафик, который не соответствует разрешенному незапрошенному трафику, или трафик, отправляемый в ответ на запрос устройства. Если вы обнаружите, что создаваемые правила не применяются, может потребоваться включить брандмауэр Windows. Вот как включить брандмауэр Windows на локальном устройстве:

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True 

netsh.exe advfirewall set allprofiles state on 

Управление поведением брандмауэра Windows

Глобальные параметры по умолчанию можно определить с помощью интерфейса командной строки. Эти изменения также доступны через консоль брандмауэра Windows. Следующие скриптлеты задают входящие и исходящие действия по умолчанию, указывают защищенные сетевые подключения и позволяют отображать уведомления для пользователя, когда программа заблокирована для получения входящих подключений. Он разрешает одноадресный ответ на многоадресный или широковещательный сетевой трафик и задает параметры ведения журнала для устранения неполадок.

Set-NetFirewallProfile -DefaultInboundAction Block -DefaultOutboundAction Allow -NotifyOnListen True -AllowUnicastResponseToMulticast True -LogFileName %SystemRoot%\System32\LogFiles\Firewall\pfirewall.log 

netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound netsh advfirewall set allprofiles settings inboundusernotification enable netsh advfirewall set allprofiles settings unicastresponsetomulticast enable netsh advfirewall set allprofiles logging filename %SystemRoot%\System32\LogFiles\Firewall\pfirewall.log 

Отключение брандмауэра Windows

Корпорация Майкрософт рекомендует не отключать брандмауэр Windows, так как вы теряете другие преимущества, предоставляемые службой, такие как возможность использования правил безопасности подключений по протоколу IPsec, защита сети от атак с использованием отпечатков пальцев сети, усиление защиты службы Windows и фильтры времени загрузки. Отключение брандмауэра Windows также может вызвать проблемы, в том числе:

• Меню «Пуск» может перестать работать
• Современные приложения могут не устанавливаться или обновляться
• Сбой активации Windows через телефон
• Несовместимость приложений или ОС, зависящее от брандмауэра Windows

Корпорация Майкрософт рекомендует отключить брандмауэр Windows только при установке стороннего брандмауэра и вернуть брандмауэр Windows к значениям по умолчанию при отключении или удалении стороннего программного обеспечения. Если требуется отключить брандмауэр Windows, не отключайте его, останавливая службу брандмауэра Windows (в оснастке «Службы » отображаемое имя — Брандмауэр Windows, а имя службы — MpsSvc). Остановка службы брандмауэра Windows не поддерживается корпорацией Майкрософт. Программное обеспечение брандмауэра сторонних разработчиков может программно отключить только те части брандмауэра Windows, которые необходимо отключить для обеспечения совместимости. Для этой цели не следует самостоятельно отключать брандмауэр. Чтобы отключить брандмауэр Windows, следует отключить профили брандмауэра Windows и оставить службу запущенной. Используйте следующую процедуру, чтобы отключить брандмауэр или отключить групповая политика настройки конфигурации компьютера|Административные шаблоны|Сеть|Сетевые подключения|Брандмауэр Windows|Prolfile домена|Брандмауэр Windows: защита всех сетевых подключений. Дополнительные сведения см. в руководстве по развертыванию брандмауэра Windows. В следующем примере брандмауэр Windows отключается для всех профилей.

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False 

Развертывание основных правил брандмауэра

В этом разделе приведены примеры скриптлетов для создания, изменения и удаления правил брандмауэра.

Создание правил брандмауэра

Добавление правила брандмауэра в Windows PowerShell выглядит так же, как в Netsh, но параметры и значения задаются по-разному. Ниже приведен пример того, как разрешить приложению Telnet прослушивать сеть. Это правило брандмауэра ограничивается локальной подсетью, используя ключевое слово вместо IP-адреса. Как и в Netsh, правило создается на локальном устройстве и сразу же вступает в силу.

New-NetFirewallRule -DisplayName "Allow Inbound Telnet" -Direction Inbound -Program %SystemRoot%\System32\tlntsvr.exe -RemoteAddress LocalSubnet -Action Allow 

netsh advfirewall firewall add rule name="Allow Inbound Telnet" dir=in program= %SystemRoot%\System32\tlntsvr.exe remoteip=localsubnet action=allow 

В следующем скриптлете показано, как добавить базовое правило брандмауэра, которое блокирует исходящий трафик из определенного приложения и локального порта в объект групповая политика (GPO) в Active Directory. В Windows PowerShell хранилище политик указывается в качестве параметра в командлете New-NetFirewall. В Netsh необходимо сначала указать объект групповой политики, который должны изменить команды в сеансе Netsh. Вводимые команды выполняются для содержимого объекта групповой политики, и выполнение остается в силе до завершения сеанса Netsh или до выполнения другой команды set store. Здесь domain.contoso.com — это имя доменные службы Active Directory (AD DS), а gpo_name — имя объекта групповой политики, который требуется изменить. Кавычки обязательны, если в имени объекта групповой политики есть пробелы.

New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\tlntsvr.exe -Protocol TCP -LocalPort 23 -Action Block -PolicyStore domain.contoso.com\gpo_name 

netsh advfirewall set store gpo=domain.contoso.com\gpo_name netsh advfirewall firewall add rule name="Block Outbound Telnet" dir=out program=%SystemRoot%\System32\telnet.exe protocol=tcp localport=23 action=block 

Кэширование объекта групповой политики

Чтобы снизить нагрузку на занятых контроллерах домена, Windows PowerShell позволяет загрузить объект групповой политики в локальный сеанс, внести все изменения в этом сеансе, а затем сохранить его снова. Следующая команда выполняет те же действия, что и в предыдущем примере (путем добавления правила Telnet в объект групповой политики), но для этого мы применяем кэширование объектов групповой политики в PowerShell. Изменение объекта групповой политики путем загрузки его в локальный сеанс и использования параметра -GPOSession не поддерживается в Netsh.

$gpo = Open-NetGPO -PolicyStore domain.contoso.com\gpo_name New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block -GPOSession $gpo Save-NetGPO -GPOSession $gpo 

Эта команда не выполняет пакетную обработку отдельных изменений, а загружает и сохраняет весь объект групповой политики одновременно. Таким образом, если другие изменения вносятся другими администраторами или в другом окне Windows PowerShell, сохранение объекта групповой политики перезаписывает эти изменения.

Изменение существующего правила брандмауэра

При создании правила Netsh и Windows PowerShell позволяют изменять свойства и влияние правила, но правило сохраняет свой уникальный идентификатор (в Windows PowerShell этот идентификатор указывается с помощью параметра -Name). Например, можно создать правило Allow Web 80 , которое включает TCP-порт 80 для входящего незапрошенного трафика. Вы можете изменить правило в соответствии с другим удаленным IP-адресом веб-сервера, трафик которого будет разрешен, указав доступное для чтения локализованное имя правила.

Set-NetFirewallRule -DisplayName "Allow Web 80" -RemoteAddress 192.168.0.2 

netsh advfirewall firewall set rule name="Allow Web 80" new remoteip=192.168.0.2 

Netsh требует указать имя правила для его изменения, и у нас нет альтернативного способа получения правила брандмауэра. В Windows PowerShell можно запросить правило, используя его известные свойства. При запуске Get-NetFirewallRule можно заметить, что такие распространенные условия, как адреса и порты, не отображаются. Эти условия представлены в отдельных объектах, называемых фильтрами. Как показано ранее, все условия можно задать в New-NetFirewallRule и Set-NetFirewallRule. Если вы хотите запросить правила брандмауэра на основе этих полей (порты, адреса, безопасность, интерфейсы, службы), необходимо получить сами объекты фильтра. Вы можете изменить удаленную конечную точку правила Allow Web 80 (как это было сделано ранее) с помощью объектов фильтра. Используя Windows PowerShell, вы выполняете запрос по порту с помощью фильтра портов, а затем при условии, что существуют другие правила, влияющие на локальный порт, выполняется сборка с дополнительными запросами, пока не будет извлечено нужное правило. В следующем примере предполагается, что запрос возвращает одно правило брандмауэра, которое затем Set-NetFirewallRule передается в командлет с использованием возможности Windows PowerShell конвейера входных данных.

Get-NetFirewallPortFilter | ? | Get-NetFirewallRule | ? < $_.Direction -eq "Inbound" -and $_.Action -eq "Allow">| Set-NetFirewallRule -RemoteAddress 192.168.0.2 

Вы также можете запросить правила с помощью подстановочного знака. В следующем примере возвращается массив правил брандмауэра, связанных с определенной программой. Элементы массива можно изменить в последующих Set-NetFirewallRule командлетах.

Get-NetFirewallApplicationFilter -Program "*svchost*" | Get-NetFirewallRule 

Несколько правил в группе могут быть одновременно изменены, если имя связанной группы указано в команде Set. Правила брандмауэра можно добавить в указанные группы управления, чтобы управлять несколькими правилами, которые имеют одинаковые влияния. В следующем примере мы добавим правила брандмауэра Telnet для входящих и исходящих подключений в группу Telnet Management. В Windows PowerShell членство в группах указывается при первом создании правил, поэтому мы повторно создадим предыдущие примеры правил. Добавление правил в настраиваемую группу правил в Netsh невозможно.

New-NetFirewallRule -DisplayName "Allow Inbound Telnet" -Direction Inbound -Program %SystemRoot%\System32\tlntsvr.exe -RemoteAddress LocalSubnet -Action Allow -Group "Telnet Management" New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\tlntsvr.exe -RemoteAddress LocalSubnet -Action Allow -Group "Telnet Management" 

Если группа не указана во время создания правила, правило можно добавить в группу правил с помощью нотации точек в Windows PowerShell. Нельзя указать группу с помощью, Set-NetFirewallRule так как команда позволяет выполнять запросы по группе правил.

$rule = Get-NetFirewallRule -DisplayName "Allow Inbound Telnet" $rule.Group = "Telnet Management" $rule | Set-NetFirewallRule 

С помощью Set команды, если указано имя группы правил, членство в группе не изменяется, а все правила группы получают те же изменения, что и заданные параметры. Следующий скриптлет включает все правила в предопределенной группе, содержащей удаленное управление, влияющее на правила брандмауэра.

Set-NetFirewallRule -DisplayGroup "Windows Firewall Remote Management" -Enabled True 

netsh advfirewall firewall set rule group="Windows Firewall remote management" new enable=yes 

Существует также отдельный Enable-NetFirewallRule командлет для включения правил по группам или другим свойствам правила.

Enable-NetFirewallRule -DisplayGroup "Windows Firewall Remote Management" -Verbose 

Удаление правила брандмауэра

Объекты правил можно отключить, чтобы они больше не были активными. В Windows PowerShell командлет Disable-NetFirewallRule оставит правило в системе, но поместит его в отключенное состояние, чтобы правило больше не применялось и влияло на трафик. Отключенное правило брандмауэра можно повторно включить с помощью Enable-NetFirewallRule. Этот командлет отличается от Remove-NetFirewallRule, который окончательно удаляет определение правила с устройства. Следующий командлет удаляет указанное существующее правило брандмауэра из локального хранилища политик.

Remove-NetFirewallRule -DisplayName "Allow Web 80" 

netsh advfirewall firewall delete rule name="Allow Web 80" 

Как и в случае с другими командлетами, можно также запросить удаление правил. Здесь все правила блокировки брандмауэра удаляются с устройства.

Remove-NetFirewallRule -Action Block 

Может быть безопаснее запросить правила с помощью команды Get и сохранить их в переменной, соблюдать правила, на которые нужно повлиять, а затем передать их в команду Удалить , как это было для команд Set . В следующем примере показано, как просмотреть все правила блокировки брандмауэра, а затем удалить первые четыре правила.

$x = Get-NetFirewallRule -Action Block $x $x[0-3] | Remove-NetFirewallRule 

Удаленное управление

Удаленное управление с помощью WinRM включено по умолчанию. Командлеты, поддерживающие параметр CimSession , используют WinRM и могут управляться удаленно по умолчанию. В следующем примере возвращаются все правила брандмауэра постоянного хранилища на устройстве с именем RemoteDevice.

Get-NetFirewallRule -CimSession RemoteDevice 

Мы можем вносить любые изменения или просматривать правила на удаленных устройствах с помощью параметра -CimSession . Здесь мы удаляем определенное правило брандмауэра с удаленного устройства.

$RemoteSession = New-CimSession -ComputerName RemoteDevice Remove-NetFirewallRule -DisplayName "AllowWeb80" -CimSession $RemoteSession -Confirm 

Развертывание основных параметров правил IPsec

Политика безопасности протокола ИНТЕРНЕТА (IPsec) состоит из правил, определяющих поведение IPsec. IPsec поддерживает одноранговую проверку подлинности на уровне сети, проверку подлинности источника данных, целостность данных, конфиденциальность данных (шифрование) и защиту от воспроизведения. Windows PowerShell могут создавать мощные и сложные политики IPsec, например в Netsh и консоли брандмауэра Windows. Тем не менее, поскольку Windows PowerShell основан на объекте, а не на основе строкового токена, конфигурация в Windows PowerShell обеспечивает больший контроль и гибкость. В Netsh наборы проверки подлинности и шифрования были указаны в виде списка токенов, разделенных запятыми, в определенном формате. В Windows PowerShell вместо использования параметров по умолчанию вы сначала создаете нужные объекты предложений проверки подлинности или шифрования и объединяете их в списки в предпочтительном порядке. Затем вы создадите одно или несколько правил IPsec, ссылающихся на эти наборы. Преимущество этой модели заключается в том, что программный доступ к информации в правилах гораздо проще. Уточняющие примеры см. в следующих разделах.

Создание правил IPsec

Следующий командлет создает базовое правило режима транспорта IPsec в объекте групповая политика. Правило IPsec легко создать; Все, что требуется, — это отображаемое имя, а остальные свойства используют значения по умолчанию. Входящий трафик проходит проверку подлинности и проверяется целостность с помощью быстрого режима по умолчанию и параметров режима main. Эти параметры по умолчанию можно найти в консоли в разделе Настройка по умолчанию IPsec.

New-NetIPsecRule -DisplayName "Require Inbound Authentication" -PolicyStore domain.contoso.com\gpo_name 

netsh advfirewall set store gpo=domain.contoso.com\gpo_name netsh advfirewall consec add rule name="Require Inbound Authentication" endpoint1=any endpoint2=any action=requireinrequestout 

Добавление пользовательских методов проверки подлинности в правило IPsec

Если вы хотите создать пользовательский набор предложений быстрого режима, который включает в себя как AH, так и ESP в объекте правила IPsec, вы создаете связанные объекты отдельно и связываете их связи. Дополнительные сведения о методах проверки подлинности см. в разделе Выбор протокола IPsec. Затем при создании правил IPsec можно использовать только что созданные настраиваемые политики быстрого режима. Объект набора шифрования связан с объектом правила IPsec. В этом примере мы создадим ранее правило IPsec, указав настраиваемый набор криптографии быстрого режима. Окончательное правило IPsec требует, чтобы исходящий трафик прошел проверку подлинности с помощью указанного метода шифрования.

$AHandESPQM = New-NetIPsecQuickModeCryptoProposal -Encapsulation AH,ESP -AHHash SHA1 -ESPHash SHA1 -Encryption DES3 $QMCryptoSet = New-NetIPsecQuickModeCryptoSet -DisplayName "ah:sha1+esp:sha1-des3" -Proposal $AHandESPQM -PolicyStore domain.contoso.com\gpo_name New-NetIPsecRule -DisplayName "Require Inbound Authentication" -InboundSecurity Require -OutboundSecurity Request -QuickModeCryptoSet $QMCryptoSet.Name -PolicyStore domain.contoso.com\gpo_name 

netsh advfirewall set store gpo=domain.contoso.com\gpo_name netsh advfirewall consec add rule name="Require Outbound Authentication" endpoint1=any endpoint2=any action=requireinrequestout qmsecmethods=ah:sha1+esp:sha1-3des 

Правила транспорта IPsec IKEv2

Корпоративной сети может потребоваться обеспечить безопасность связи с другим агентством. Но вы обнаружите, что агентство работает под управлением операционных систем, отличных от Windows, и требует использования стандарта Internet Key Exchange версии 2 (IKEv2). Вы можете применить возможности IKEv2 в Windows Server 2012, указав IKEv2 в качестве ключевого модуля в правиле IPsec. Эта спецификация возможностей может быть выполнена только с помощью проверки подлинности на основе сертификата компьютера и не может использоваться с проверкой подлинности на этапе 2.

New-NetIPsecRule -DisplayName "Require Inbound Authentication" -InboundSecurity Require -OutboundSecurity Request -Phase1AuthSet MyCertAuthSet -KeyModule IKEv2 -RemoteAddress $nonWindowsGateway 

Дополнительные сведения о IKEv2, включая сценарии, см. в статье Защита сквозных подключений IPsec с помощью IKEv2.

Копирование правила IPsec из одной политики в другую

Правила брандмауэра и IPsec с одинаковыми свойствами правил можно дублировать, чтобы упростить их повторное создание в разных хранилищах политик. Чтобы скопировать ранее созданное правило из одного хранилища политик в другое, связанные объекты также должны быть скопированы отдельно. Нет необходимости копировать связанные фильтры брандмауэра. Вы можете запрашивать правила для копирования так же, как и другие командлеты. Копирование отдельных правил — это задача, которая невозможна через интерфейс Netsh. Вот как это можно сделать с помощью Windows PowerShell.

$Rule = Get-NetIPsecRule -DisplayName "Require Inbound Authentication" $Rule | Copy-NetIPsecRule -NewPolicyStore domain.costoso.com\new_gpo_name $Rule | Copy-NetPhase1AuthSet -NewPolicyStore domain.costoso.com\new_gpo_name 

Обработка ошибок Windows PowerShell

Для обработки ошибок в скриптах Windows PowerShell можно использовать параметр -ErrorAction. Этот параметр особенно полезен в командлетах Remove . Если вы хотите удалить определенное правило, вы заметите, что оно завершается ошибкой, если оно не найдено. При удалении правил, если правило еще не существует, допустимо игнорировать эту ошибку. В этом случае можно выполнить следующие действия, чтобы подавить все ошибки «правило не найдено» во время операции удаления.

Remove-NetFirewallRule -DisplayName "Contoso Messenger 98" -ErrorAction SilentlyContinue 

Использование подстановочных знаков также может подавлять ошибки, но потенциально они могут соответствовать правилам, которые вы не собирались удалять. Эти подстановочные знаки могут быть полезным ярлыком, но их следует использовать только в том случае, если вы знаете, что нет никаких дополнительных правил, которые будут случайно удалены. Таким образом, следующий командлет также удалит правило, подавляя любые ошибки «не найдено».

Remove-NetFirewallRule -DisplayName "Contoso Messenger 98*" 

При использовании подстановочных знаков, если вы хотите дважды проверка наборе правил, которые соответствуют, можно использовать параметр -WhatIf.

Remove-NetFirewallRule -DisplayName "Contoso Messenger 98*" -WhatIf 

Если вы хотите удалить только некоторые из соответствующих правил, можно использовать параметр -Confirm , чтобы получить запрос на подтверждение по правилу.

Remove-NetFirewallRule -DisplayName "Contoso Messenger 98*" -Confirm 

Вы также можете просто выполнить всю операцию, отображая имена каждого правила при выполнении операции.

Remove-NetFirewallRule -DisplayName "Contoso Messenger 98*" -Verbose 

Монитор

Следующие команды Windows PowerShell полезны в цикле обновления на этапе развертывания. Чтобы разрешить просматривать все правила IPsec в определенном хранилище, можно использовать следующие команды. В Netsh эта команда не отображает правила, где profile=domain,public или profile=domain,private. В нем отображаются только правила с одним доменом входа, включенным в правило. В следующих примерах команд будут показаны правила IPsec во всех профилях.

Show-NetIPsecRule -PolicyStore ActiveStore 

netsh advfirewall consec show rule name=all 

Вы можете отслеживать main связи безопасности в режиме, например, какие одноранговые узлы в настоящее время подключены к устройству и какой набор защиты используется для формирования связей безопасности. Используйте следующий командлет для просмотра существующих правил режима main и их связей безопасности:

Get-NetIPsecMainModeSA 

netsh advfirewall monitor show mmsa all 

Поиск исходного объекта групповой политики правила

Чтобы просмотреть свойства определенного правила или группы правил, необходимо запросить правило. Когда запрос возвращает поля, указанные как NotConfigured, можно определить, из какого хранилища политики исходит правило. Для объектов, поступающих из объекта групповой политики (параметр -PolicyStoreSourceType указан как GroupPolicy в команде Show ), если передается параметр -TracePolicyStore , имя объекта групповой политики будет найдено и возвращается в поле PolicyStoreSource .

Get-NetIPsecRule -DisplayName "Require Inbound Authentication" -TracePolicyStore 

Важно отметить, что выявленные источники не содержат доменного имени.

Развертывание базовой политики изоляции домена

IPsec можно использовать для изоляции членов домена от членов, не относящихся к домену. Изоляция домена использует проверку подлинности IPsec, чтобы устройства, присоединенные к домену, устанавливали удостоверения взаимодействующих устройств для повышения безопасности организации. Для защиты трафика с помощью объекта правила IPsec можно использовать одну или несколько функций IPsec. Чтобы реализовать изоляцию домена в сети, устройства в домене получают правила IPsec, которые блокируют незапрошенный входящий сетевой трафик, который не защищен IPsec. Здесь мы создадим правило IPsec, которое требует проверки подлинности членами домена. С помощью этой проверки подлинности можно изолировать присоединенные к домену устройства от устройств, которые не присоединены к домену. В следующих примерах проверка подлинности Kerberos требуется для входящего трафика и запрашивается для исходящего трафика.

$kerbprop = New-NetIPsecAuthProposal -Machine -Kerberos $Phase1AuthSet = New-NetIPsecPhase1AuthSet -DisplayName "Kerberos Auth Phase1" -Proposal $kerbprop -PolicyStore domain.contoso.com\domain_isolation New-NetIPsecRule -DisplayName "Basic Domain Isolation Policy" -Profile Domain -Phase1AuthSet $Phase1AuthSet.Name -InboundSecurity Require -OutboundSecurity Request -PolicyStore domain.contoso.com\domain_isolation 

netsh advfirewall set store gpo=domain.contoso.com\domain_isolation netsh advfirewall consec add rule name="Basic Domain Isolation Policy" profile=domain endpoint1="any" endpoint2="any" action=requireinrequestout auth1="computerkerb" 

Настройка режима туннеля IPsec

Следующая команда создает туннель IPsec, который направляет трафик из частной сети (192.168.0.0/16) через интерфейс на локальном устройстве (1.1.1.1), подключенном к общедоступной сети, на втором устройстве через его общедоступный интерфейс (2.2.2.2) в другую частную сеть (192.157.0.0/16). Весь трафик через туннель проверяется на целостность с помощью ESP/SHA1 и шифруется с помощью ESP/DES3.

$QMProposal = New-NetIPsecQuickModeCryptoProposal -Encapsulation ESP -ESPHash SHA1 -Encryption DES3 $QMCryptoSet = New-NetIPsecQuickModeCryptoSet -DisplayName "esp:sha1-des3" -Proposal $QMProposal New-NetIPSecRule -DisplayName "Tunnel from HQ to Dallas Branch" -Mode Tunnel -LocalAddress 192.168.0.0/16 -RemoteAddress 192.157.0.0/16 -LocalTunnelEndpoint 1.1.1.1 -RemoteTunnelEndpoint 2.2.2.2 -InboundSecurity Require -OutboundSecurity Require -QuickModeCryptoSet $QMCryptoSet.Name 

netsh advfirewall consec add rule name="Tunnel from 192.168.0.0/16 to 192.157.0.0/16" mode=tunnel endpoint1=192.168.0.0/16 endpoint2=192.157.0.0/16 localtunnelendpoint=1.1.1.1 remotetunnelendpoint=2.2.2.2 action=requireinrequireout qmsecmethods=esp:sha1-3des 

Развертывание правил безопасного брандмауэра с помощью IPsec

В ситуациях, когда через брандмауэр Windows может быть разрешен только безопасный трафик, необходимо сочетание правил брандмауэра и IPsec, настроенных вручную. Правила брандмауэра определяют уровень безопасности для разрешенных пакетов, а базовые правила IPsec защищают трафик. Эти сценарии можно реализовать в Windows PowerShell и в Netsh, с множеством сходств в развертывании.

Создание правила безопасного брандмауэра (разрешить, если безопасно)

Настройка правила брандмауэров для разрешения подключений, если они безопасны, требует проверки подлинности и целостности соответствующего трафика, а затем при необходимости шифруется IPsec. В следующем примере создается правило брандмауэра, требующее проверки подлинности трафика. Команда разрешает входящий сетевой трафик Telnet только в том случае, если подключение с удаленного устройства проходит проверку подлинности с помощью отдельного правила IPsec.

New-NetFirewallRule -DisplayName "Allow Authenticated Telnet" -Direction Inbound -Program %SystemRoot%\System32\tlntsvr.exe -Authentication Required -Action Allow 

netsh advfirewall firewall add rule name="Allow Authenticated Telnet" dir=in program=%SystemRoot%\System32\tlntsvr.exe security=authenticate action=allow 

Следующая команда создает правило IPsec, которое требует первой проверки подлинности (компьютер), а затем пытается выполнить необязательную вторую проверку подлинности (пользователя). Создание этого правила защищает и разрешает трафик через требования к правилу брандмауэра для программы messenger.

$mkerbauthprop = New-NetIPsecAuthProposal -Machine -Kerberos $mntlmauthprop = New-NetIPsecAuthProposal -Machine -NTLM $P1Auth = New-NetIPsecPhase1AuthSet -DisplayName "Machine Auth" -Proposal $mkerbauthprop,$mntlmauthprop $ukerbauthprop = New-NetIPsecAuthProposal -User -Kerberos $unentlmauthprop = New-NetIPsecAuthProposal -User -NTLM $anonyauthprop = New-NetIPsecAuthProposal -Anonymous $P2Auth = New-NetIPsecPhase2AuthSet -DisplayName "User Auth" -Proposal $ukerbauthprop,$unentlmauthprop,$anonyauthprop New-NetIPSecRule -DisplayName "Authenticate Both Computer and User" -InboundSecurity Require -OutboundSecurity Require -Phase1AuthSet $P1Auth.Name -Phase2AuthSet $P2Auth.Name 

netsh advfirewall consec add rule name="Authenticate Both Computer and User" endpoint1=any endpoint2=any action=requireinrequireout auth1=computerkerb,computerntlm auth2=userkerb,userntlm,anonymous 

Изоляция сервера путем шифрования и членства в группах

Чтобы повысить безопасность устройств в организации, можно развернуть изоляцию домена, в которой члены домена ограничены. Они требуют проверки подлинности при обмене данными между собой и отклоняют входящие подключения, не прошедшие проверку подлинности. Чтобы повысить безопасность серверов с конфиденциальными данными, эти данные должны быть защищены, разрешив доступ только к подмножествам устройств в корпоративном домене. IPsec может обеспечить этот дополнительный уровень защиты путем изоляции сервера. В изоляции сервера доступ к конфиденциальным данным ограничен пользователями и устройствами с законными бизнес-требованиями, а данные дополнительно шифруются, чтобы предотвратить перехват.

Создание правила брандмауэра, которое требует членства в группе и шифрования

Чтобы развернуть изоляцию сервера, мы создадим правило брандмауэра, которое ограничивает трафик авторизованными пользователями или устройствами в правиле IPsec, которое обеспечивает проверку подлинности. Следующее правило брандмауэра разрешает трафик Telnet из учетных записей пользователей, которые являются членами настраиваемой группы с именем «Авторизованный для доступа к серверу». Этот доступ можно дополнительно ограничить в зависимости от устройства, пользователя или того и другого, указав параметры ограничения. Строка языка определения дескриптора безопасности (SDDL) создается путем расширения идентификатора безопасности пользователя или группы . Дополнительные сведения о поиске идентификатора безопасности группы см. в статье Поиск идентификатора безопасности для учетной записи группы. Ограничение доступа к группе позволяет администраторам расширить поддержку строгой проверки подлинности с помощью брандмауэра Windows и (или) политик IPsec. В следующем примере показано, как создать строку SDDL, представляющую группы безопасности.

$user = new-object System.Security.Principal.NTAccount ("corp.contoso.com\Administrators") $SIDofSecureUserGroup = $user.Translate([System.Security.Principal.SecurityIdentifier]).Value $secureUserGroup = "D:(A;;CC;;;$SIDofSecureUserGroup)" 

Используя предыдущий скриптлет, вы также можете получить строку SDDL для безопасной группы компьютеров, как показано ниже:

$secureMachineGroup = "D:(A;;CC;;;$SIDofSecureMachineGroup)" 

Дополнительные сведения о создании групп безопасности или определении строки SDDL см. в статье Работа с идентификаторами БЕЗОПАСНОСТИ. Telnet — это приложение, которое не обеспечивает шифрование. Это приложение может отправлять данные, такие как имена и пароли, по сети. Эти данные могут быть перехвачены злоумышленниками. Если администратор хочет разрешить использование Telnet, но защитить трафик, можно создать правило брандмауэра, которое требует шифрования IPsec. Это правило брандмауэра необходимо, чтобы администратор был уверен, что при использовании этого приложения весь трафик, отправляемый или полученный этим портом, шифруется. Если протоколу IPsec не удается авторизовать подключение, трафик из этого приложения не разрешается. В этом примере мы разрешаем только прошедший проверку подлинности и зашифрованный входящий трафик Telnet из указанной безопасной группы пользователей путем создания следующего правила брандмауэра.

New-NetFirewallRule -DisplayName "Allow Encrypted Inbound Telnet to Group Members Only" -Program %SystemRoot%\System32\tlntsvr.exe -Protocol TCP -Direction Inbound -Action Allow -LocalPort 23 -Authentication Required -Encryption Required -RemoteUser $secureUserGroup -PolicyStore domain.contoso.com\Server_Isolation 

netsh advfirewall set store gpo=domain.contoso.com\Server_Isolation netsh advfirewall firewall add rule name="Allow Encrypted Inbound Telnet to Group Members Only" program=%SystemRoot%\System32\tlntsvr.exe protocol=TCP dir=in action=allow localport=23 security=authenc rmtusrgrp ="D:(A;;CC;;; S-1-5-21-2329867823-2610410949-1491576313-1735)" 

Принудительное применение безопасности конечной точки

В предыдущем примере показана сквозная безопасность для конкретного приложения. В ситуациях, когда для многих приложений требуется безопасность конечных точек, наличие правила брандмауэра для каждого приложения может быть громоздким и трудным в управлении. Авторизация может переопределить основу для каждого правила и выполняться на уровне IPsec. В этом примере мы задаем глобальный параметр IPsec так, чтобы трафик в режиме транспорта попадал только из авторизованной группы пользователей с помощью следующего командлета. Ознакомьтесь с предыдущими примерами для работы с группами безопасности.

Set-NetFirewallSetting -RemoteMachineTransportAuthorizationList $secureMachineGroup 

Создание правил брандмауэра, разрешающих защищенный IPsec сетевой трафик (обход с проверкой подлинности)

Обход с проверкой подлинности позволяет трафику с указанного доверенного устройства или пользователя переопределять правила блокировки брандмауэра. Это переопределение полезно, если администратор хочет использовать серверы сканирования для мониторинга и обновления устройств без использования исключений на уровне портов. Дополнительные сведения см. в разделе Включение обхода брандмауэра с проверкой подлинности. В этом примере предполагается, что существует правило блокировки брандмауэра. В этом примере любой сетевой трафик на любом порту с любого IP-адреса может переопределить правило блокировки, если трафик проходит проверку подлинности как исходящий от устройства или учетной записи пользователя, которая является членом указанного устройства или группы безопасности пользователей.

New-NetFirewallRule -DisplayName "Inbound Secure Bypass Rule" -Direction Inbound -Authentication Required -OverrideBlockRules $true -RemoteMachine $secureMachineGroup -RemoteUser $secureUserGroup -PolicyStore domain.contoso.com\domain_isolation 

netsh advfirewall set store gpo=domain.contoso.com\domain_isolation netsh advfirewall firewall add rule name="Inbound Secure Bypass Rule" dir=in security=authenticate action="bypass" rmtcomputergrp="D:(A;;CC;;;S-1-5-21-2329867823-2610410949-1491576313-1114)" rmtusrgrp="D:(A;;CC;;; S-1-5-21-2329867823-2610410949-1491576313-1735)" 

Как отключить брандмауэр Windows (Windows Firewall) в Windows 10

В этой статье показаны различные действия, с помощью которых можно отключить брандмауэр Windows (Windows Firewall) в операционной системе Windows 10.

Брандмауэр Windows (Windows Firewall) — это межсетевой экран который представляет собой уровень защиты и разрешает сетевую связь или отказывает в ней на основе набора заранее установленных правил. Эти правила ограничивают связь таким образом, что только определенные приложения имеют разрешение использовать сетевое подключение.

Это эффективно закрывает большинство лазеек, которыми могли бы воспользоваться определенные типы вирусов, а также другие злоумышленные приложения.

Как правило, пользователям не придется вмешиваться в работу брандмауэра Windows, так как его защита достаточно ненавязчивая и может побеспокоить вас только при обнаружении программы, которую она раньше не видела.

Если возникнет необходимость, можно отключить брандмауэр Windows на непродолжительное время, например если вы подозреваете, что брандмауэр Windows мешает работе какой-либо программе. Также можно отключить брандмауэр полностью, сделать это можно лишь перед установкой брандмауэра другого разработчика, чтобы между двумя программами одного класса не возник конфликт, в остальных случаях полностью отключать брандмауэр нежелательно.

Далее в статье рассмотрены различные способы отключения Брандмауэра Windows.

Как отключить Брандмауэр Windows в классической панели управления

Способ отключения брандмауэра с помощью апплета классической панели управления в настоящее время подходит для всех версий Windows 10, однако в будущих обновлениях операционной системы, все настройки из классической панели управления будут постепенно переноситься в современное приложение Параметры Windows, в Microsoft такая тенденция уже давно наметилась.

Итак, откройте классическую панель управления, в выпадающем меню Просмотр установите Мелкие значки и выберите Брандмауэр Windows .

Также можно нажать сочетание клавиш + R, в открывшемся окне Выполнить введите firewall.cpl и нажмите клавишу Enter ↵.

В левой части открывшегося окна Брандмауэр Windows нажмите на ссылку Включение и отключение брандмауэра Windows

Далее в настройках параметров, для каждого типа сети установите радиокнопку в пункте Отключить брандмауэр Windows (Не рекомендуется) и нажмите кнопку OK .

Система уведомит вас о том что Брандмауэр Windows отключен.

Как отключить Брандмауэр Windows в Центре безопасности Защитника Windows

Откройте Центр безопасности Защитника Windows и перейдите в раздел Брандмауэр и безопасность сети.

Также открыть Центр безопасности Защитника Windows в разделе Брандмауэр и безопасность сети можно воспользовавшись поиском, для этого откройте панель поиска и в поисковой строке введите firewall, в результатах поисковой выдачи выберите Брандмауэр и безопасность сети.

В разделе Брандмауэр и безопасность сети выберите нужную сеть.

В следующем окне, установите переключатель в положение Откл.

После этого в окне Контроль учетных записей нажмите кнопку Да .

Система также уведомит вас о том что Брандмауэр Windows отключен.

Все изменения связанные с отключением или включением брандмауэра производимые в интерфейсе Центра безопасности Защитника Windows автоматически изменяются в настройках брандмауэра в классической панели управления, и наоборот.

Как отключить Брандмауэр Windows в командной строке

Отключить или включить Брандмауэр Windows вы также можете с помощью утилиты командной строки netsh (от англ. «сетевая оболочка» или netsh shell) с помощью которой осуществляется локальное или удаленное конфигурирование сетевых параметров.

Запустите командную строку с административными привилегиями и выполните нужную вам команду из списка представленного ниже.

• Отключение брандмауэра для всех профилей сети — netsh advfirewall set allprofiles state off
• Отключение брандмауэра текущего профиля сети — netsh advfirewall set currentprofile state off
• Отключение брандмауэра для профиля частной сети — netsh advfirewall set privateprofile state off
• Отключение брандмауэра для профиля общедоступной сети — netsh advfirewall set publicprofile state off
• Отключение брандмауэра для профиля домена — netsh advfirewall set domainprofile state off

Ниже также представлены команды для включения Брандмауэра Windows.

• Включение брандмауэра для всех профилей сети — netsh advfirewall set allprofiles state on
• Включение брандмауэра текущего профиля сети — netsh advfirewall set currentprofile state on
• Включение брандмауэра для профиля частной сети — netsh advfirewall set privateprofile state on
• Включение брандмауэра для профиля общедоступной сети — netsh advfirewall set publicprofile state on
• Включение брандмауэра для профиля домена — netsh advfirewall set domainprofile state on

Как отключить Брандмауэр Windows в консоли Windows PowerShell

Для отключения брандмауэра можно использовать командлеты PowerShell, для этого запустите консоль Windows PowerShell от имени администратора и выполните нужную команду из представленных ниже:

1. Отключение всех профилей (Domain, Public, Private).
2. Set-NetFirewallProfile -All -Enabled False

• Отключение брандмауэра для профиля частной сети — Set-NetFirewallProfile -Profile Private -Enabled False
• Отключение брандмауэра для профиля общедоступной сети — Set-NetFirewallProfile -Profile Public -Enabled False
• Отключение брандмауэра для профиля домена — Set-NetFirewallProfile -Profile Domain -Enabled False

Ниже представлены командлеты для включения Брандмауэра Windows.

• Включение всех профилей (Domain, Public, Private) — Set-NetFirewallProfile -All -Enabled True
• Включение брандмауэра для профиля частной сети — Set-NetFirewallProfile -Profile Private -Enabled True
• Включение брандмауэра для профиля общедоступной сети — Set-NetFirewallProfile -Profile Public -Enabled True
• Включение брандмауэра для профиля домена — Set-NetFirewallProfile -Profile Domain -Enabled True

Также отключить брандмауэр Windows можно используя редактор групповых политик, редактор реестра или отключение службы брандмауэра, но это темы для отдельных статей, которые будут опубликованы на сайте в ближайшем будущем.

Отключение Брандмауэра Windows представляет собой серьезную угрозу безопасности компьютера. После выполнения каких-либо действий с отключенным брандмауэром, обязательно включите его обратно, так как он помогает предотвратить несанкционированный доступ к вашему компьютеру через интернет.

Видео-инструкция

Также, можно посмотреть видео ролик в котором показано как отключить брандмауэр Windows (Windows Firewall) в Windows 10.

Отключаем брандмауэр Windows 10 – 5 рабочих способов

Безопасность – важная характеристика операционной системы. Всем бы хотелось чувствовать себя защищённым от злоумышленников во время пользования компьютером. Устанавливать ли себе антивирус – вопрос индивидуальный. Опытные пользователи персональных компьютеров часто предпочитают экономить на ресурсах компьютера и избавляются от программ-антивирусов на свой страх и риск.

Брандмауэр Windows – это встроенная в операционную систему утилита, которая заявлена как необходимая для обеспечения безопасности от вредоносного ПО и защите персональных данных пользователя. По умолчанию эта утилита включена в операционной системе. Однако рядовому пользователю иногда требуется на время отключить брандмауэр или добавить исключения в правила его поведения, дабы не получать уведомления о запрете запуска какой-либо программы. В статье представлены 5 способов отключения и включения брандмауэра в Windows 10.

Отключение брандмауэра через «Панель управления»

1. Открываем меню «Пуск». Находим в списке папку «Служебные – Windows», открываем её и в ней нажимаем на «Панель управления».

Открываем панель управления в панели задач или через меню «Пуск»

Переходим к брандмауэру защитника Windows

Тут его можно включить и отключить

Настройки

Отключение брандмауэра, используя консоль командной строки

1. Открываем командную строку Windows. Для этого нажимаем на иконку поиска рядом с кнопкой «Пуск» и начинаем вписывать туда «Командная строка». Чтобы производить манипуляции по включению и отключению брандмауэра Windows, нужно будет открыть командную строку от имени администратора. Поэтому после того как в поисковой выдаче нашли пункт «Командная строка», нажимаем на него правой кнопкой мыши и выбираем «Открыть от имени администратора».

Запускаем от имени администратора

• netsh advfirewall set allprofiles state off – чтобы отключить файрвол;
• netsh advfirewall set allprofiles state on – чтобы включить файрвол.

Привычные комбинации клавиш Ctrl+C и Ctrl+V не работают для командной строки. Для того чтобы вставить содержимое буфера обмена в командную строку, выделяем её и нажимаем правую клавишу мыши.

Пришло уведомление, что все идет по плану

В виде подтверждения успешного выполнения команды видим лаконичный ответ – «ОК».

Как отключить брандмауэр Windows через оператор services.msc

Оператор services.msc управляет службами Windows. Службы отвечают за работу устройств и их компонентов. У брандмауэра так же есть служба в этом операторе. Если отключить её, файрвол так же отключится.

Открываем поиск рядом с кнопкой «Пуск». Вписываем в строку поиска services.msc и открываем соответствующую службу.

Открываем службы

Отключено

Если вам необходимо включить брандмауэр (до этого отключенный в службах), то следуем инструкции в обратной последовательности.

Отключение брандмауэра при помощи реестра Windows

Реестр Windows – это база данных параметров и настроек. Он содержит информацию об установленных программах, настройки панели управления и много чего ещё. В нём содержится информация и о файерволе. Изменения значений в конфигурационных файлах брандмауэра приведёт к изменению его настроек. Чего мы и добиваемся.

Открываем реестр Windows. Для этого открываем диалоговое окно «Выполнить» комбинацией клавиш Win+R, вводим команду regedit и жмём «ОК».

Запускаем редактор реестра

Ищем

0 отключает брандмауэр

Как отключить брандмауэр через «Защитника Windows»

Так как файрвол является частью системы безопасности Windows 10, управлять некоторыми его функциями можно через интерфейс «Защитник Windows».

1. На панели значков в трее находим значок в виде щитка и нажимаем на него. В открывшемся окне «Центр безопасности Защитника Windows» нажимаем на три полоски в верхнем левом углу окна. Дальше выбираем «Брандмауэр и безопасность сети». Тут тоже можно настроить брандмауэр
2. В открывшемся окне в левой части ищем сеть с пометкой «активный» и переходим в эту настройку подключения.

Сюда

Все просто

Добавляем программы в список исключений брандмауэра

Основная причина полного отключения брандмауэра пользователями – его функция фильтрации и блокировки трафика. Это мешает некоторым программам полноценно выполнять их функции. Как мы уже выяснили, выключение файервола может негативно повлиять на безопасность. Поэтому имеет смысл не отключать его полностью, а внести в список исключений нужное вам приложение.

Когда мы добавляем новое исключение в список исключений брандмауэра, он начинает игнорировать весь трафик приложения, что позволяет ему, невзирая на правила брандмауэра, использовать любой тип сетевого трафика.

1. Открываем брандмауэр через «Панель управления» (Способ описан выше).
2. В левой колонке видим пункт меню «Разрешение взаимодействия с приложением или компонентом в брандмауэре Защитника Windows». Заходим в него.

Нужный пункт

Нам необходимо изменить эти настройки

Настройка производится галочками

В случае если ваша программа отсутствует в списке, предложенном утилитой, нажимаем на кнопку «Разрешить другое приложение». Далее нажимаем «Обзор», находим нужный нам файл с разрешением .exe и нажимаем «Добавить». Нужные приложения можно настроить опционально

Запускаем приложение и проверяем успешность проведённых манипуляций.

Включение брандмауэра в Windows 10

Иногда пользователю может понадобиться включение брандмауэра – например, после одного из вышеперечисленных способов его временного отключения или вирусной атаки. Если он был отключен одним из вышеперечисленных способ, то вам потребуется выполнить обратный порядок действий.

Если же произошла вирусная атака, отключившая брандмауэр Windows 10, то сначала нужно удалить все угрозы с компьютера при помощи лечащих утилит, и затем проверить, не включился ли он. Если активации брандмауэра не произошло, то в идеале следует произвести бэкап системы до того состояния, когда вирусы еще не внесли изменения, либо переустановить Виндоус.

Задаём правила поведения брандмауэра для портов

Порт – это число, которое обозначает тип протокола, который используется при передаче данных через сеть. Открытые порты представляют собой уязвимость для брандмауэра. Поэтому трижды подумайте перед тем, как добавлять исключения файрвола в работе с портами.

1. Для начала нам необходимо запустить «Монитор брандмауэра Защитника Windows». Для этого открываем меню «Пуск», в списке ищем папку «Средства администрирования» и открываем в ней «Монитор брандмауэра». Переходим сюда
2. В появившемся окне «Монитор брандмауэра Защитника Windows в режиме повышенной безопасности» в списке слева находим пункт «Правила для входящих подключений» и нажимаем на него.

Выбираем правила

Создаем новое правило

Следуем инструкции

Пример

Выбора всего два

Жмем «Далее»

Имя может быть любым

Полное удаление брандмауэра Windows 10 с компьютера

Сложно представить себе ситуацию, в которой человек осознанно, в здравом уме и с добрыми намерениями решит, что ему нужно удалить брандмауэр Windows. Но для общего развития всё же попробуем решить этот вопрос. Конечно, сам брандмауэр удалить невозможно, так как его работу обеспечивают системы файлов, которые связанные с ядром операционной системы. Можно удалить только службу файервола. Однако после этого брандмауэр больше не будет выполнять своих функций.

1. Открываем командную строку от имени администратора способом, который представлен выше.
2. Вводим в консоль команду sc delete mpssvc. Жмём «Enter».

Пишем команду без ошибок

Будьте аккуратны в изменении параметров брандмауэра и его отключении. Хорошо изучите вопрос, прежде чем переходить к поспешным действиям, которые в перспективе могут нанести вред вашему компьютеру.