Vista sisukorda

icon Koju1 icon Koju2 icon SISUKORD icon Arvutiabiicon Koolitus & help

Minu lugu...

V. Võrguühenduse turvaliseks tegemine.

II. Osa

Windows Firewall (tulemüür):

Enne arvuti Internetti ühendamist tuleks installeerida või siis aktiveerida Windows Vista omaenda olemasolev tulemüür. Õnneks me ei peagi tema aktiveerimisega vaeva nägema, sest ta lülitatakse automaatselt sisse juba Vista installeerimise käigus ja kui Sa ostad poest kompuutri, milles on Windows Vista juba olemas, siis on ka temas see tulemüür juba sisse lülitatud.
Tulemüür on tarkvaraprogramm (software) või siis riistvara (eriseade/ruuter), mis kaitseb arvutit häkkerite ning paljude uss- ja muude viiruste eest. Tulemüüri tööpõhimõte seisneb teatud tüüpi potentsiaalselt kahjuliku võrguside blokeerimises. Seega võib teda kasutada selleks, et tsenseerida/piirata informatsiooni mida vahetatakse Sinu kodu või väikefirma võrgu või siis Sinu üksiku (iseseisva) kompuutri ja Interneti vahel.
Tulemüür isoleerib Sinu kompuutri Internetist ja ta teeb seda “koodide müüri” abil, mis kontrollib igat individuaalset “andmepaketti”, mis saabub tulemüüri mõlemalt poolelt—Sinu kompuutri seest või siis väljastpoolt (Internetist)—määrates seejärel, et kas need paketid tuleb lasta läbi või siis hoopis blokeerida nad.

Windows Vista sisaldab omaenda tulemüüri kahte versiooni:


Windows Vistas on tema tulemüüri vaikimisi seadistused järgmised:

1) Sissetuleva võrguliikluse puhul KÕIK elemendid, milledele ei ole Sinu poolt kehtestatud eraldi reegleid, on BLOKEERITUD.
2) Väljaminevate andmevoogude puhul KÕIK elemendid, milledele ei ole Sinu poolt kehtestatud eraldi reegleid, on LUBATUD.
See tähendab näiteks seda et kui mingi pahavaraprogramm tahab andmeid välja saata, siis lubatakse tal seda ka teha... Seega Sa võiksid soovi korral seadistada oma tulemüüri nii et ta blokeeriks ka KOGU VÄLJAMINEVA võrguliikluse (v. a. need Vista enda programmid, milledele on seda vaja või need legaalsed programmid, mis Sa olid ise installeerinud ja mis vajavad Internetiühendust, näiteks mingi Torrent kliendiprogramm)—seda tee ikka siis kui Sa seda oskad ja sellest tuleb lõpupoole ka juttu (seal).
Seda saad Sa teha ainult administraatori õigustes ja Vista Windows Firewall With Advanced Security kaudu.


Märkus: Kui osa pilte ei ilmu siin dokumendis päris terviklikult (täissuuruses), siis klõpsa oma brauseriakna tööriistariba nupule uuenda1 (Refresh-värskenda) või siis nupule uuenda2 (Reload-lae ümber) ja kõik saab korda.

Windows Firewall'i (tema baasversiooni) kasutamine:

Windows Firewall on vaikimisi installeeritud ja ka sisse lülitatud. Et temale ligi pääseda, selleks klõpsa Start, siis klõpsa Control Panel ja Control Paneli aknas klõpsa Security, siis Windows Firewall ja lõpuks lingile Change Settings. Windows Firewall omab kolme peamist konfiguratsioonilehte:

Windows Firewall

Windows Firewall'i sisselülitamine ja kasutamine:

Kui Sul ei ole kolmandate firmade tulemüüri installitud, siis peaks Windows Firewall olema kindlasti sisse lülitatud ja vajaduse korral tuleks teda ka konfigureerida.

Sa võid tulemüüri sisse lülitada järgmiselt:

  1. Start - Control Panel.

  2. Control Panel'i aknas klõpsa Security > Windows Firewall > Change Setttings.

  3. General lehel vali raadionupp On (Recommended).

  4. Kui Sa soovid isoleerida oma kompuutri kõik programmid sissetulevatest ühendustest, siis pane linnuke ruutu Block All Programs ja klõpsa OK.

Firewall'i erandite lubamine lehel Exceptions:

Windows Firewall blokeerib vaikimisi sissetuleva võrguühenduse, erandiks on spetsiaalselt lubatud programmid ja pordid. Ainukeseks programmiks, millele on ka vaikimisi lubatud sissetulev võrguühendus on Remote Assistance. Kui Sa soovid ka mingile muule programmile või teenistusele lubada ühenduse võtmine Sinu kompuutriga, siis Sa võid seda teha järgmisel teel:

  1. Start - Control Panel.

  2. Control Panel'i aknas klõpsa Security > Windows Firewall > Change Settings.

  3. Ava Exceptions vahekaart/lipik, siin on toodud peamiste programmide ja teenistuste loetelu, mida saab kas lubada või siis jälle blokeerida. Kui paned linnukese mingi programmi/servise ees ruutu, siis lubatakse talle sissetulev võrguühendus ja tavaliselt avatakse siis ka temaga seotud port:

    erandite tegemine

  4. Kui Sa ei näe antud loetelus enda soovitud programmi, siis klõpsa nupule Add Program... ja otsi ülesse ning vali vastav programm.

  5. Kui vajad oma kompuutris mingi TCP või UDP pordi jaoks sissetulevat ühendust, siis klõpsa nupule Add Port... ja vali port avatavas dialoogiaknas.

Windows Firewall teavitab Sind alati kui ta blokeerib mingi programmi, juhul kui see muutub tüütavaks, siis korista linnuke ruudust Tell Me When Windows Firewall Blocks A Program (lehel Exceptions).

Märkus: Kuid ära siin ka liiale mine, sest mida rohkem Sa neid lubasid siin annad, seda "auklikumaks" Sinu tulemüür muutub ja seda suurem võimalus on häkkeritel Sind kimbutada.

Kui Sa lisad mingi programmi lubatud programmide loetellu või kui Sa avad mingi pordi (port), siis Sa lubad osadel programmidel saata või saada informatsiooni Windowsi tulemüüri kaudu. Lubades programmil pidada ühendust tulemüüri kaudu (seda nimetatakse ka tema deblokeerimiseks) sarnaneb sellele, et Sinu tulemüüri tekitati juurde veel üks "auk" (st avati lahtine "värav" - port).
Iga kord kui Sa avad mingi pordi või lubad mingil programmil pidada ühendust tulemüüri kaudu, muutub Sinu kompuuter vähem turvalisemaks. Mida rohkem neid lubatud programme ja avatud porte Sinu tulemüür sisaldab, seda suuremad võimalused on häkkeritel ja pahavaral Sinu kompuutrisse tungimiseks.
Eriti ohtlik on portide avamine, parem lisa mingi vajalik programm sinna lubatud programmide nimekirja selle asemel, et avada antud programmi jaoks mingit porti. Kui Sa avad mingi pordi, siis on ta avatud senimaani kuni Sa ta ise sulged vaatamata sellele et kas programm teda kasutab või ei kasuta. Kui Sa lisad programmi aga lubatud programmide loetellu, siis avatakse tema jaoks tulemüüri "auk" (port) ainult selleks ajaks kuni see programm seda vajab.

Luba siin ainult neid programme, mida Sa kasutad tihti ja mida Sa reaalselt vajad ning kui Sa neid programme enam ei kasuta, siis eemalda nad siit loetelust. Ära kunagi luba neid programme, mida Sa täpselt ei tunne..., st kas nad peavad ikka Internetiga ühendust saama või nad ei pea seda.

NB! Portidest saad mingisuguse ülevaate sealt.

Sa võid blokeerida sissetuleva võrguühenduse kõikide programmide jaoks, isegi nende jaoks, mis on lehel Exceptions, kui valid lehel General kontrollruudu Block All Programs. See võib olla väga vajalik siis kui Sa kasutad läpakat...

Windows Firewall With Advanced Security kasutamine:

Windows Firewall With Advanced Security on on uus vahend, mis laiendab Windows Firewall'i baasversiooni kaitsefunktsioone.

Windows Firewall With Advanced Security:

Windows Firewall ja Windows Firewall With Advanced Security on omavahel integreeritud. Kui Sa muudad Windows Firewall baasversioonis mingeid põhiseadistusi, siis peegeldub see ka Windows Firewall With Advanced Security's.

Kui Sa kasutad Windows Firewall With Advanced Security'it, siis Sa võid:

  • Konfigureerida eraldi domeenide, privaatse võrgu ja avaliku võrgu profiile tulemüüri jaoks.

  • Blokeerida või lubada sissetulevad ühendused.

  • Blokeerida või lubada väljaminevad ühendused. See on küll väga vajalik uuendus!

  • Kasutada mõlemat tulemüüri filtreerimise ja Internet Protocol Security (IPSec) kaitseseadistusi.

Windows Firewall With Advanced Security'i käivitamine ja kasutamine:

Sa võid seadistada seda Windows Firewall With Advanced Security vahendit spetsiaalse juhtimiskonsooli kaudu, millele Sa saad ligi nii: klõpsa Start, All Programs - Administrative Tools ja tee 2 x klõps Windows Firewall with Advanced Security parameetril.
(Lihtsam on klõpsata Start, siis tippida Start Search kasti tähed "adm" ja leiadki kohe ülevalt Administrative Tools'i).
Kui see Administrative Tools ei ole Start menüüs ligipääsetav, siis saad talle ligi nii: klõpsa Start ja siis Control Panel. Control Panel'i aknas klõpsa System and Maintenance, siis keri "liftiga" allapoole ja klõpsa lingile Administrative Tools ning lõpuks tee 2 x klõps Windows Firewall with Advanced Security'il.

NB! Klõpsa alumisele pildile, et teda suurendada ja kui Sul on pop-up aknad keelatud, siis luba neid antud saidis!

advanced firewall

Märkus: Sa saad Windows Firewall With Advanced Security'i käivitada ainult siis kui Sa olid ennast sisse loginud kui administraator. Et aga käivitada teda igal ajal, selleks tee tema menüünimel (Start - All Programs - Administrative Tools > Windows Firewall With Advanced Security) või siis tema kiirkorraldusel paremklõps ja vali käsk Run As Administrator.

Windows Firewall With Advanced Security omab järgmisi sõlmi/harusid (need asuvad akna vasemas paanis, vaata eelnevat pilti):

  • Inbound Rules Defineeritud reeglite komplekt sissetuleva andmevoo jaoks. Need kas lubavad või siis blokeerivad selgesõnaliselt sissetuleva andmevoo. Need reegilid sisaldavad Windows Firewall'is konfigureeritud baasreegleid ja täiendatud reeglite loetelu, mida saab konfigureerida ainult Windows Firewall With Advanced Security kaudu.

  • Outbound Rules  Defineeritud reeglite komplekt väljamineva andmevoo jaoks. Need kas selgesõnaliselt lubavad või siis selgesõnaliselt blokeerivad väljamineva andmevoo. Neid reegleid saab konfigureerida ainult Windows Firewall With Advanced Security kaudu.

  • Computer Connection Security (Või Connection Security Rules)—Reeglite komplekt, mille Sa defineerid kaitstud andmevoo jaoks.

  • Monitoring  Kuvab info käesoleva tulemüüri reeglite, ühenduse turvareeglite ja turvaseoste kohta.

Tulemüüri võrguprofiili omaduste seadmine:

Windows Firewall With Advanced Security kasutab eraldi profiile, et defineerida tulemüüri konfiguratsiooni, mis baseerub keskkonnale milles kompuuter asub. Windows Vista defineerib kolme tüüpi profiile:

  • Domain Profile  Sa kasutad Domeeni profiili siis, kui kompuuter on domeeni liige ja on liidetud firma domeeniga. Kodukasutaja kohta see ei käi.

  • Private Profile  Sa kasutad privaatset profiili siis, kui kompuuter ei ole ühendatud oma firma domeeni ja on selle asemel ühendatud eraldi privaatsesse võrku.

  • Public Profile  Sa kasutad Avalikku profiili siis, kui kompuuter ei ole ühendatud oma firma domeeni või muusse privaatsesse võrku. Näiteks, kui Sa kasutad oma läpakat kusagil kohvikus, siis kasutab Sinu kompuuter Avalikku (Public) profiili kui Sa ühendad ta avalikku access point'i.

Igal võrguprofiilil on eraldi seadistused:

  • Firewall state (seisund/staatus)   Määrab kas tulemüür on sisse lülitatud ja kuida käsitletakse ühendusi.

  • Behavior settings (käitumise seadistused)  Määrab, et kellel on lubatud konfigureerida seadistusi, teavitatavaid blokeerimisi ja vastuste tüüpe.

  • Logging settings  Windows Firewall with Advanced Security konsooli võib konfigureerida nii et ta salvestab logimise sündmusi, mis näitavad nende õnnestumisi või siis ebaõnnestumisi. Siin saab seada logifaili ennast ja peale selle ka seda et millist sündmust hakatakse salvestama.

  • IPsec Settings  Määrab IPSec seadistused, et stabiliseerida turvalisi ühendusi.

Tulemüüri seisundi seadmine (konfigureerimine):

  1. Ava Windows Firewall With Advanced Security konsool.

  2. Klõpsa vasakus paanis Windows Firewall With Advanced Security on Local Computer sõlmel (Või klõpsa siis keskel Overview paneelil lingile Windows Firewall Properties).

  3. Overview paanis klõpsa lingile Windows Firewall Properties.

  4. Windows Firewall with Advanced Security on Local Computer dialoogiaknas vali vastavalt Domain Profile, Private Profile või Public Profile sakk (vahekaart):

    profiil

     

  5. Et ativeerida antud pofiili (st käivitada tulemüür), selleks vali oblastis Firewall state rippmenüüst parameeter On (recommended).
  6. Et konfigureerida globaalset vaikimisi seadistust sissetulevate ühenduste jaoks, klõpsa Inbound Connections rippmenüüle ja siis:
    • Vali Block (default), et blokeerida kõik programmid, mis ei ole spetsiaalselt loetletud Inbound Allowed reeglites.
    • Vali Block all connections, et blokeerida kõik programmid, isegi need mis on loetletud Inbound Allowed reeglites.
    • Vali Allow, et lubada kõikidel programmidel võtta ühendust oma kompuutriga. See ei ole enamikel juhtumitel soovitatav.
  7. Et konfigureerida globaalset vaikimisi seadistust väljuvate ühenduste jaoks, klõpsa Outbound Connections rippmenüüle ja siis:
  • !!! Vali Block et blokeerida kõik programmid, mis ei ole spetsiaalselt loetletud Outbound Allowed reeglites.

    Kui Sa valid siin blokeerimise, siis pead arvestama sellega, et sellega blokeeritakse ka Sinu kõikide programmide pääs võrku (Internetti) ja Sea pead sel juhul neile selle pääasu ise looma tulemüüri Outbound Allowed reeglitega. See ei ole keeruline, Sa lood oma vajaliku programmi jaoks lihtsalt uue väljamineku reegli (Outbound Rule) ja annad seal reegli loomise nõustajaaknas antud programmile õiguse võrku minekuks - juhis seal.
  • !!! Vali Allow (default), et lubada kõikidele programmidele juurdepääs võrku (st Sinu kompuutri programmid võivad võtta ühendust võrguga); siin tuleks valida parameeter Block ja seejärel (või hiljem) määrata programmid, milledele Sa lubad võrku/Internetti minna. Kindlasti peab lubama väljamineva ühenduse oma kohalikule meiliprogrammile (nt Winows Mail), oma brauserile, mingile ftp programmile, Skype'le, minglile chat programmile, olemasolevale failivahetusprogrammile, oma antiviirus -ja pahavara tõrje programmidele, et nad saaksid laadida alla värskeid andmebaase jne...

    Kui Sa valid siin blokeerimise, siis pead arvestama sellega, et sellega blokeeritakse ka Sinu kõikide programmide pääs võrku (Internetti) ja Sea pead sel juhul neile selle pääasu ise looma tulemüüri Outbound Allowed reeglitega. See ei ole keeruline, Sa lood oma vajaliku programmi jaoks lihtsalt uue väljumisreegli (Outbound Rule) ja annad seal reegli loomise nõustajaaknas antud programmile õiguse võrku (Interneti) minekuks - juhis seal.

    (Et mingile programmile lubada outbound ühendus, selleks klõpsa Windows Firewall with Advanced Security akna vasemas paanis Outbound Rules harule ja seejärel klõpsa akna parempoolses paanis lingile New Rule..., mis avab nõustaja, kus järgi juhiseid.)

8. Seejärel ava järgmine leht (vahekaart, sakk) kus tee sedasama...

9. Kui kõik sai valmis, siis kliki OK ja sulge see dialoogiaken.

Võrguprofiili 'Behavior' (käitumise) seadmine:

  1. Ava Windows Firewall With Advanced Security.

  2. Klõpsa vasakus paanis Windows Firewall With Advanced Security on Local Computer sõlmel (Või klõpsa siis keskel Overview paneelil lingile Windows Firewall Properties).

  3. Overview paneelil klõpsa Windows Firewall Properties.

  4. Windows Firewall with Advanced Security on Local Computer dialoogiaknas vali vastavalt Domain Profile, Private Profile või Public Profile vahekaart.

  5. Klõpsa oblastis Settings nupule Customize.

  6. Ilmub Customize Settings dialoogiaken, kus konfigureeri tulemüüri käitumist:

    behavior

Profiili Logging seadistuste konfigureerimine: 

  1. Ava Windows Firewall With Advanced Security.

  2. Klõpsa vasakus paanis Windows Firewall With Advanced Security sõlmel (Või klõpsa siis keskel Overview paneelil lingile Windows Firewall Properties).

  3. Overview paneelil klõpsa Windows Firewall Properties.

  4. Windows Firewall with Advanced Security on Local Computer dialoogiaknas vali vastavalt Domain Profile, Private Profile või Public Profile sakk/lipik:

  5. Klõpsa oblastis Logging nupule Customize.

  6. Customize Logging Options dialoogiaknas aktiveeri Log successful sonnections ruut ja klõpsa OK:

    logging

Inbound Rules seadmine:

Tulemüüri kõikide profiilide vaikimisi konfiguratsioonid blokeerivad kompuutrisse sissetulevad ühendused. Seda ei tehta ainult siis kui me olime eelnevalt kehtestanud mingid spetsiifilised sisenemisreeglid (inbound rules), mis lubavad meie poolt määratud sissetulevaid ühendusi. Me võime Windows Firewall With Advanced Security konsoolis vaadata jooksvalt defineeritud sisenemisreegleid kui valime vasemast paanist Inbound Rules haru:

NB! Klõpsa alumisele pildile, et teda suurendada ja kui Sul on pop-up aknad keelatud, siis luba neid antud saidis!

Sissetuleku reeglid

Defineeritud sisenemisreeglid (inbound rules) ei ole Windows Firewall With Advanced Security konsoolis tingimata lubatud. Ainult osad sisenemisreeglid on vaikimisi lubatud ja need kehtivad Remote Assistance ja veel mõnede vahendite kohta. (Remote Assistance tuleks siin hoopis blokeerida.)

Sisenemisreeglite (inbound rules) puhul me saame:

  • Kehtestada sisenemisreeglid kas kõikidele programmidele või siis mingile spetsiifilisele programmile.

  • Kehtestada käsu, mis lubab kõik sissetulevad ühendused või lubab ainult turvalised sissetulevad ühendused või blokeerib kõik sissetulevad ühendused.

  • Määrata kasutajad ja kompuutrid (võrgus), milledele lubatakse teostada ühendusi, mis baseeruvad antud sisenemisreeglitele ja muuta neid reeglitepakette.

  • Määrata reegli, mida võib kasutada kõikide protokollide ja pordinumbritega, spetsiifilise protokolli ja kõikide portidega või spetsiifilise protokollitüübi ja spetsiifilise pordinumbriga.

  • Määrata reegli ulatuse nii et teda rakendatakse kas kõikidele lokaalsetele IP aaadressidele, ainult spetsiifilistele lokaalsetele IP aadressidele, kõikidele eemalolevatele IP aadressidele või spetsiifilistele eemalolevatele IP aadressidele.

Et konfigureerida mingit käesolevat eeldefineeritud sisenemisreeglit (sissetuleku reeglit), tee:

  1. Ava Windows Firewall With Advanced Security konsool.

  2. Vali vasakus paani Inbound Rules haru.

  3. Tee paremal 2x klõps sisenemisreeglil mida Sa soovid muuta, ilmub dialoogiaken:

    inbound reegli muutmine

  4. ...Properties dialoogiaknas saame me konfigureerida seadistusi järgmistel lehtedel:

    • General  Panna reeglile nime, kirjelduse ja tegevuse (action: lubada, lubada ainult turvaline ühendus või blokeerida).

    • Users and Computers  Kui reegli action lubab turvalise ühenduse, siis me võime kehtestada kompuutrid või kasutajakontod või grupid, kes võivad teha selliseid ühendusi.

    • Protocols and Ports  Seada reeglile IP protokolli, lähte ja sihtkoha TCP või UDP pordid ja Internet Control Message Protocol (ICMP) või ICMPv6 seadistused.

    • Programs and Services  Määrata programmi või servise, millele see reegel rakendatakse.

    • Scope  Määrata reeglis lubatud lähte ja sihtaadressid.

    • Advanced  Määrata profiilid, kasutajaliidese (kuva) tüübid ja teenused, milledele see reegel rakendatakse.

  5. Kui Sa soovid kehtestada mingit sisenemisreeglit, siis pane lehel General linnuke Enabled kontrollruutu ja klõpsa OK.

Outbound Rules seadistused:

Tulemüüri kõikide profiilide vaikimisi konfiguratsioonid lubavad kompuutrist väjaminevad ühendused. Seda ei tehta ainult siis kui me olime eelnevalt kehtestanud mingid spetsiifilised väljumisreeglid (outbound rules). Me võime Windows Firewall with Advanced Security konsoolis vaadata jooksvalt defineeritud väljaminekureegleid kui valime vasemast paanist Outbound Rules sõlme/haru:

NB! Klõpsa alumisele pildile, et teda suurendada ja kui Sul on pop-up aknad keelatud, siis luba neid antud saidis!

Outbound rules

Defineeritud väljumisreeglid ('outbound rules') ei ole Windows Firewall With Advanced Security'i konsoolis tingimata lubatud. Ainult mõni väljumisreegel on vaikimisi lubatud ja see kehtib Internet Group Management Protocol (IGMP) jms jaoks.

Väljumisreegleid (outbound rules) saab konfigureerida samamoodi nagu me tegime seda ka sisenemisreeglite (inbound rules) konfigureerimisel...

Lõpetuseks: Kui Sa tahad teada, et kui haavatav on Internetist tulevate ohtude suhtes Sinu kompuuter, siis saab selleks kasutada mitmeid häid saite, kus Sa saad seda testida:

NB! Loe ka muudest tasuta tulemüüridest ja enda tulemüüri ning süsteemi töökindluse testimisest täpsemalt sealt.

Kellele tundus ülaltoodu liiga keerulisena ja kes üleüldse ei soovi seda Windows Vista Firewall'i või siis tema paremat/täiendatud Windows Firewall With Advanced Security versiooni kasutada ning soovib endale hoopis kolmandate firmade mingit head tasuta tulemüüri, siis tema võiks lugeda infot aadressilt: http://www.hot.ee/sm2/arvutiabi.html (pealkirja "Installeerida tulemüür" alt). Seal on toodud ära tasuta heade tulemüüride lingid ja pikem jutt on ka ZoneAlarm tasuta tulemüürist. Peale sealtoodute soovitaksin ka tasuta COMODO Firewall Pro'd, aga Vista jaoks on ta veel alfa staadiumis, seega oota ära kuni ilmub tema lõppversioon ja siis lae ta alla ning installeeri. Kui sa installeerid mingi kolmandate firmade tulemüüri, siis lülita vista enese tulemüür välja, seni aga las olla sisse lülitatud Windows Vista enda tulemüür. Nende kolmandate firmade tulemüüride plussiks kõige muu kõrval on veel see, et nendes tuleb vähekogenud kasutajal üsna vähe midagi seada...
Comodo tulemüüri aadress on: http://www.personalfirewall.comodo.com (ZoneAlarm'i viimane versioon sobib juba praegu Vista'le.)

Ülesse

Mine edasi lehele Windows Defender >

< Tagasi

< Tagasi Vista esilehele ja sisukorda

Saada ka enda tuttavale lugemiseks!

Kui Sa saadad meili, siis on Sinu saadetavas kirjas selle lehe aadress juba
olemas ja muu saad ise juurde lisada.

Sisesta siia saaja e-mail aadress:

elaja kojuAbout Us |Site Map | ©2006 Ahv & Co Eesti Vabariik