Добавление исключений в брандмауэры windows 10 и windows 11 вместо отключения

Правильная настройка встроенных средств защиты Windows 10 позволяет комфортно и безопасно использовать компьютер. Ниже будут приведены основные способы настройки и варианты с полным отключением защиты.

Многим популярным у пользователей программам необходим доступ в Интернет. Если с этим возникают проблемы, то возможным решением может быть отключение встроенного брандмауэра. Однако это действие следует совершать осторожно и только в случае явной необходимости, так как отключение брандмауэра может создать уязвимость в безопасности системы. Вместо этого, рассмотрите возможность добавления исключений в настройках брандмауэра.

В нашем руководстве мы подробно рассмотрим несколько способов отключить брандмауэр Windows 11: при помощи командной строки или через Параметры.

Во все современные версии Windows встроен брандмауэр Windows Defender Firewall. Это встроенный программный межсетевой экран, который защищает Windows от несанкционированного внешнего доступа к компьютеру и запущенным на нем службам. По умолчанию брандмауэр Windows включен и защищает все сетевые интерфейсы компьютера. Брандмауэр блокирует все входящие подключения и разрешает все исходящие.

В подавляющем большинстве случае Windows Firewall должен быть включен. Если вам нужно разрешить доступ к компьютеру для определенной службы или IP адреса, просто создайте разрешающее правило. Однако в некоторых ситуациях администратору нужно полностью отключить Windows Defender Firewall для проверки сетевых подключений. В этой статье мы покажем несколько способов, как отключить и включить встроенный брандмауэр Windows.

Эта статья посвящена основам управления настройками и правилами встроенного Windows Defender Firewall из командной строки PowerShell. Мы рассмотрим, как включать/отключать брандмауэр для различных профилей, создавать, редактировать и удалять правила, экспортировать/импортировать правила Windows Firewall с помощью PowerShell.

Для управления настройками Windows Firewall обычно используется отдельная графическая MMC оснастка
wf.msc
(Control Panel -> System and Security -> Windows Defender Firewall -> Advanced settings). Большинство операций по настройке и управлению параметрами Windows Firewall можно выполнять из командной строки PowerShell. Для этого, начиная с версии Windows PowerShell 5.1, можно использовать встроенный модуль NetSecurity

Полный список командетов в модуле NetSecurity можно вывести с помощью команды:

Get-Command -Module NetSecurity

Раньше для управления правилами и настройками Брандмауэра Windows использовалась команда
netsh advfirewall firewall
.

Брандмауэр (фаервол, межсетевой экран) — это фильтр между компьютером и сетью, который проверяет безопасность входящих и исходящих данных.

Термин позаимствован из немецкого языка. «Brandmauer» — это противопожарная стена. «Firewall» означает то же самое, только на английском. Если в здании произошел пожар, то фаервол защитит соседний дом от огня.

Межсетевой фильтр работает аналогичным образом. Он защищает устройство от внешних угроз. Брандмауэр анализирует трафик по заданным шаблонам и правилам и,  если подключение небезопасно, блокирует его.

Брандмауэр проверяет трафик между устройством и сетью либо между двумя сетями. Например, корпоративной сетью и интернетом

Брандмауэры бывают программные или программно-аппаратные.

Обычные пользователи используют стандартные программы и подключаются к одним и тем же популярным сайтам или службам в сети. Поэтому большинству из них достаточно брандмауэра, который встроен в операционную систему. 

Для защиты корпоративных сетей используют программно-аппаратные брандмауэры. Это устройство, например сервер или маршрутизатор (модем), на которое установлен фаерволл. Они позволяют быстро и эффективно проверять большие объемы трафика.

Также брандмауэры встроены в ПО некоторых роутеров или модемов, через которые осуществляется доступ к сети.

Функции брандмауэра и антивируса отличаются. Брандмауэр не способен обнаружить вирус в скачанном файле или компьютере, а также проверить флешку на предмет угроз. Зато он непрерывно сканирует сетевое подключение и блокирует его при необходимости.

Когда у пользователей возникают проблемы с подключением программ к интернету, часть из них выбирают полное отключение брандмауэра Windows, чтобы решить проблему. Стоит отметить, что такое решение не самое безопасное, если вы хотите обеспечить защиту компьютера. Вместо этого более предпочтительным вариантом будет добавление нужной программы в список исключений брандмауэра.

В нашей пошаговой инструкции описаны методы добавления исключений в брандмауэр Windows 10 или Windows 11, причем эти методы подходят и для более старых версий операционной системы.

Добавление программы в исключения брандмауэра через Панель управления или окно «Безопасность Windows»

Способ 1 – через новый интерфейс управления брандмауэром Windows в разделе «Безопасность Windows» либо Панель управления.

Порядок действий следующий:

1. Открываем окно «Безопасность Windows» через «Параметры» (для Windows 11 путь будет таким: Конфиденциальность и защита — Безопасность Windows — Открыть службу «Безопасность Windows») либо при помощи значка Microsoft Defender в области уведомлений
2. Открываем пункт «Брандмауэр и безопасность сети».
3. Под перечнем профилей сети жмем на кнопку «Разрешить работу с приложением через брандмауэр».
4. Если вы хотите работать с Панелью управления, то вместо первых трех этапов, открываем Панель управления, потом пункт «Брандмауэр Защитника Windows» и жмем на ссылку «Разрешение взаимодействия с приложением или компонентом в брандмауэре защитника Windows».
5. Откроется окно, где нужно будет выбрать «Изменить параметры» (это может сделать только пользователь с правами администратора).
6. В том случае, когда необходимое приложение отсутствует, жмем кнопку «Разрешить другое приложение». Если оно есть – ставим отметку напротив необходимых сетей для того, чтобы позволить ему с ними работать.
7. Нажимаем на кнопку «Обзор» и выбираем путь к необходимой программе.
8. Нажимаем на кнопку «Типы сетей» и выбираем те сети, для которых дадим разрешение программе с ними работать.
9. Жмем на кнопку «Добавить».
10. После этого программа окажется в списке разрешенных в нашем брандмауэре и нужно будет только нажать на кнопку «Ок», чтобы применить настройки.

Как известно, встроенный брандмауэр Windows не обладает особым функционалом, поэтому обычно отключается более продвинутыми продуктами. Впрочем, даже при выключенном брандмауэре иногда необходимо проводить некоторые настройки. Например, открывать/закрывать порты. И, если на одном компьютере это проще сделать через графический интерфейс, то проводить одну и ту же настройку на нескольких компьютеров в сети таким способом будет утомительно. Рассмотрим управление брандмауэром Windows через командную строку. Получившиеся команды можно будет затем записать в bat-файл и разослать по сети.

Данный синтаксис актуален для Windows Vista, 7, 8 и серверных редакций, начиная с 2008.

Начнем с основ. Включение брандмауэра:

netsh advfirewall set allprofiles state on

netsh advfirewall set allprofiles state off

Включение отдельных профилей:

netsh advfirewall set domainprofile state on
netsh advfirewall set privateprofile state on
netsh advfirewall set publicprofile state on

Выключение отдельных профилей:

netsh advfirewall set domainprofile state off
netsh advfirewall set privateprofile state off
netsh advfirewall set publicprofile state off

Закрыть все входящие соединения и разрешить все исходящие:

netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound

Открыть локальный порт по протоколу TCP для входящего соединения. Для примера 80:

netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN

В примере name это имя правила. Можно указать удобное Вам.

Аналогично с протоколом UDP:

netsh advfirewall firewall add rule name="test" protocol=UDP localport=80 action=allow dir=IN

Ну и, соответственно, если мы хотим запретить входящие на локальный 80 порт по TCP:

netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=block dir=IN

Для UDP дублировать не буду. Там всё аналогично кроме названия протокола.

Разрешить исходящие на удаленный порт по протоколу TCP. Опять же, пусть будет 80 порт.

netsh advfirewall firewall add rule name="test" protocol=TCP remoteport=80 action=allow dir=OUT

Открыть диапазон удаленных портов для исходящего соединения по протоколу UDP:

netsh advfirewall firewall add rule name="test" protocol=UDP remoteport=5000-5100 action=allow dir=OUT

Создать правило по подключению только с конкретного IP:

netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1

Или диапазона IP:

netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1-192.168.0.100

Подсеть можно вписать и по имени или просто как 192.168.0.1/100.

Разрешить соединение для определенной программы:

netsh advfirewall firewall add rule name="test" dir=in action=allow program="C:\test\test.exe" enable=yes

Созданное правило можно удалить командой

netsh advfirewall firewall delete rule name="test"

Команды можно комбинировать и видоизменять, причем довольно гибко. Например, если мы хотим открыть порт только для определенного типа профилей, то можно набрать команду следующего вида:

netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN profile=domain

И так далее, добавляя диапазоны адресов, пути к приложениям и прочее в удобной последовательности.

Виды брандмауэров

Существует несколько типов фаерволов. Они отличаются видами фильтрации трафика. Большинство современных брандмауэров содержит все три типа фильтров, но в некоторых решениях они встречаются отдельно.

Различают следующие виды брандмауэров:

Пакетные фильтры проверяют данные в заголовке пакетов: кто отправитель, получатель, номер пакета, используемые порты, тип протокола. Это фильтры первого поколения. Они остаются наиболее распространенными и востребованными среди пользователей.

Пакет — это небольшой кусочек данных. Веб-страница, письмо или загружаемый файл разделен на несколько частей, которые отправляются друг за другом.

Инспекторы состояния принадлежат ко второму поколению и имеют дополнительный фильтр. Помимо анализа данных в заголовках пакетов, они отслеживают и контролируют каждую сессию подключения.

Посредники прикладного уровня — это третье поколение брандмауэров. Они распознают не только данные в заголовках, но и содержимое пакетов. Если в нем содержится вирус, фильтр не пропустит такой пакет на компьютер пользователя.

NGFW (next-generation firewall) — это межсетевой экран нового поколения. Его выделяют в отдельную категорию. Помимо стандартных функций фаервола, NGFW защищает от вирусов, блокирует спам-рассылки, анализирует шифрованный трафик, позволяет контролировать работу приложений. Например, Sophos UTM, Traffiс Inspector Next Generation, Cisco Firepower NGFW, Fortinet FortiGate, Palo Alto Networks Next-Generation Firewall.

Как полностью отключить брандмауэр Windows 11 в командной строке

Когда требуется оперативно выполнить отключение брандмауэра от всех сетевых профилей, можно использовать командную строку, которую нужно запустить от имени администратора:

В командной строке ввести команду:

netsh advfirewall set allprofiles state off

и нажать Enter.

После того, как команда будет выполнена, вы получите сообщение «Ок», однако зайдя в параметры «Брандмауэр и безопасность сети», вы увидите следующее состояние брандмауэра:

Изображение показывает, что брандмауэр Windows 11 уже отключен. Чтобы активировать его повторно, используется команда:

netsh advfirewall set allprofiles state on

Отключить Windows Firewall через GPO

Вы можете отключить Windows Firewall с помощью групповых политик.

На отдельном компьютере нужно использовать консоль редактора локальной групповой политики (
gpedit,msc
), а в доменной среде нужно создать новую GPO с помощью консоли управления GPMC.

1. Откройте GPO и перейдите в раздел Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall -> Domain Profile.
2. Откройте параметр “Windows Firewall: Protect all network connections” и измените значение на Disabled;
3. Аналогичным образом измените параметр в секции Standard Profile;
4. Обновите настройки GPO на компьютере и проверьте, что брандмауэр для доменного профиля отключен;
5. Если компьютер будет подключен к сети, отличной от доменной, Windows Firewall будет защищать такое подключение.
6. Если вы хотите отключить брандмауэр для всех сетевых профилей, перейдите в раздел GPO Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security. Отключите файервол на вкладках всех трех сетевых профилей.

После того, как вы отключили Windows Firewall через GPO, пользователь не сможет включить его вручную через панель управления.

Как настроить брандмауэр

Если брандмауэр настроен неправильно, сервисы и программы работают некорректно. Пользователь не может зайти на сайт, подключиться к серверу онлайн-игры или к групповым видеозвонкам в мессенджере. Рассказываем, как настроить брандмауэр на персональном компьютере.

На Windows

Зайдите в меню «Пуск» и начните вводить слово «Брандмауэр».

Щелкните на значке «Брандмауэр Защитника Windows». Откроется окно настройки брандмауэра. Здесь вы можете отключить или выключить фаервол, настроить уведомления или сбросить параметры до значений по умолчанию. 

Чтобы создать новое правило для подключения или программы, зайдите в пункт «Дополнительные параметры» и выберите действие «Создать правило».

Если у программы возникают проблемы при работе с сетью, это может быть связано с неправильной настройкой файрвола. Например, в мессенджере не работают видеозвонки или нельзя подключиться к конференции в Zoom. 

Чтобы это исправить, нужно разрешить программе обмениваться данными через сеть:

• в меню «Пуск« начните вводить слово «безопасность»;
• щелкните на значке «Безопасность Windows»;
• в открывшемся окне выберите пункт «Брандмауэр и безопасность сети».

Откроется окно со списком разрешенных программ. Здесь вы можете открыть любому приложению доступ к сетевым подключениям. Если программы нет в списке, нажмите кнопку «Разрешить другое приложение» и найдите его на вашем компьютере.

Разрешайте доступ к сети только проверенным приложениям

На MacOS

Чтобы изменить настройки брандмауэра на MacOS:

• выберите меню Apple;
• зайдите в «Системные настройки»;
• выберите пункт «Конфиденциальность и безопасность»;
• кликните на «Брандмауэр».

Здесь вы можете отключить или включить фаервол или изменить его настройки.

Как настроить брандмауэр на MacOS. Источник

Главные мысли

Добавление в исключения программы или порта в мониторе брандмауэра Защитник Windows в режиме повышенной безопасности

Добавить порты и программы в список исключений брандмауэра операционной системы Windows 10 или 11 также можно при помощи монитора брандмауэра, выбрав режим повышенной безопасности. Это делается следующим образом:

1. Нажимаем комбинацию клавиш Win+R, пишем wf.msc, жмем на Enter или открываем через Панель управления пункт «Брандмауэр защитника Windows», после чего жмем в левой части панели на кнопку «Дополнительные параметры».
2. В левой части панели надо выбрать «Правила для входящих подключений» либо «Правила для исходящих подключений» (иногда требуется настроить оба пункта).
3. В правой части панели жмем на «Создать правило».
4. Пишем, для кого создаем правило: программа или порт и жмем на кнопку «Далее».
5. Указываем номера портов и протокол или путь к выбранной программе. Жмем на кнопку «Далее».
6. Чтобы нужный порт или программа не блокировались, выбираем пункт «Разрешить подключение». Жмем на кнопку «Далее».
7. Выбираем сетевые профили, для которых будет действовать правило.
8. Пишем название и, если нужно, создаем описание правила. Жмем на кнопку «Готово».

Благодаря выполненным шагам перестанет блокироваться трафик для выбранной программы или порта. Если используется другой тип подключения, то может понадобиться создать еще одно правило (для исходящих вместо входящих, и наоборот).

Зачем нужен брандмауэр

Брандмауэр обеспечивает безопасность сети или персонального компьютера. Он защищает от следующих угроз

Компьютерные черви и вирусы. Программа предупредит пользователя или запретит ему скачивать подозрительные файлы из неизвестных или ненадежных источников.

Утечки данных. Фаервол контролирует исходящий трафик, поэтому вредоносная программа не сможет отправить пароли или другие данные злоумышленнику.

DDoS-атаки. Это большое количество запросов к серверу, цель которых вызвать перегрузку и сбои в работе. В результате DDoS-атаки пользователи не могут зайти на сайт или воспользоваться сервисами компании. Брандмауэр анализирует трафик и блокирует адреса, с которых идёт атака.

Подбор паролей. Злоумышленник пытается подобрать пароли с помощью программы-взломщика или брутфорса, то есть методом перебора. Фаервол блокирует такие подключения.

Взлом удаленного доступа. Другой вариант проникнуть в сеть — через бэкдор. Злоумышленник ищет уязвимости в системе, сканирует порты, через которые устройство связывается с сетью. Брандмауэр отслеживает и запрещает несанкционированные попытки подключиться к портам.

Фишинговые сайты. Это ресурсы, которые копируют страницы известных сайтов, социальные сетей или онлайн-банкинга. Их создают мошенники, чтобы украсть данные карты или пароли. Фаервол при правильной настройке запретит доступ к таким сайтам.

Контроль уровня доступа в рамках локальной сети. Файрвол позволяет настроить правила и шаблоны индивидуально для каждого пользователя или приложения. Например, разрешить доступ к социальным сетям только SMM-специалисту и таргетологу.

Защита пользовательских данных в сети — вопрос насущный. Если раньше эта проблема стояла в первую очередь у больших компаний и государственных служб, то сейчас все больше обычных людей подвергаются атакам, попыткам взлома и кражи.

В привычном понимании человека не из сферы кибербезопасности защита данных — это про антивирусный софт. Однако сюда относятся также попытки DDOS-атак, сканирование уязвимостей портов, подбор паролей. 

При этом обычному человеку необязательно разбираться в тонкостях настройки сетевого экрана, важно найти провайдера таких решений. Это справедливо как для компаний, так и для частных лиц.

Как отключить или включить брандмауэр Windows с помощью PowerShell?

Для управления Windows Firewall из командной строки можно использовать PowerShell.

Проверьте, что брандмауэр включен для всех трех сетевых профилей:

Можно отключить брандмауэр только для одного сетевого профиля:

Set-NetFirewallProfile -Profile Domain -Enabled False

Или отключить firewall сразу для всех сетевых профилей:

Set-NetFirewallProfile -Profile Domain, Public, Private -Enabled False

Чтобы включить Windows Defender, выполните команду:

Set-NetFirewallProfile -Profile Domain, Public, Private -Enabled True

Вы можете отключить защиту брандмауэра для конкретного сетевого подключения. Чтобы узнать имя сетевого подключения, выведите их список:

Теперь можно отключить файервол для выбранного интерфейса:

Set-NetFirewallProfile -Profile Domain, Public, Private -DisabledInterfaceAliases "My_Internal_NIC1"

Вывести список сетевых адаптеров, которые исключены из файервола:

Очистить список исключений:

Через Панель управления

Вы можете отключить брандмауэр Windows 11 так же, как и в более ранних версиях ОС, выполнив следующие шаги:

1. Открыть Панель управления.
2. Открыть пункт «Брандмауэр защитника Windows». Выбираем в поле «Просмотр» в меню Панели управления пункт «Значок».
3. В левой части панели жмем «Включение или отключение брандмауэра Защитника Windows».
4. Выбираем вариант «Отключить брандмауэр Защитника Windows» для личной и (или) для общедоступной сети.

С чем не поможет стандартный брандмауэр

Стандартный брандмауэр не защитит компьютер от всех угроз в интернете. Брандмауэр не способен:

• Обнаружить вирусы и вредоносные программы, которые уже попали в компьютер или сеть, например до установки или включения фаервола. Эту проблему решает антивирус.
• Заблокировать спам и вредоносные рассылки. От получения спама защищает только спам-фильтр. Однако при правильной настройке, фаервол запретит пользователю переходить по подозрительной ссылке.
• Проанализировать данные, полученные через , а также с карт памяти, дисков, флэшек, или других внешних устройств. Для этого также нужен антивирус.  

Отключить/включить брандмауэр из панели управления Windows

В современных версиях Windows 10 и 11 для управления брандмауэром используется панель Безопасность Windows (Windows Security).

Если панель Windows Security не открывается или повреждена, вы можете восстановить ее.

1. Перейдите в меню Параметры (Settings -> Update & Security -> Windows Security) или выполните команду
   windowsdefender://network/
   ;
2. Выберите раздел Firewall and network protection;
3. По очереди щелкните по каждому из трех сетевых профилей (Domain, Private и Public) и отключите Microsoft Defender Firewall; ,
4. Подтвердите отключение в окне User Account Control.

В Windows для каждого сетевого подключения используется один из трех сетевых профилей:

• Domain – применяется для компьютеров, которые добавлены в домен AD
• Private – для небольших офисных LAN, рабочих групп и домашней сети
• Public – для общественных сетей (кафе, аэропорты)

В зависимости от типа сети к сетевому интерфейсу применяются различные правила брандмауэра и настройки обнаружения Windows в сетевом окружении. Вы можете изменить профиль сети подключения как описано тут.

В предыдущих версиях Windows и в Windows Server 2012R2/2016/2019 можно отключить брандмауэр через классическую панель управления «Windows Firewall with Advanced Security«:

1. Откройте консоль
   firewall.cpl
   ;
2. Щелкните по Turn Windows Defender Firewall on or off;
3. Отключите Windows Defender firewall для всех типов сетей.

Если на компьютере есть несколько сетевых интерфейсов, вы можете отключить файервол только для некоторых из них.

1. Нажмите кнопку Advanced Settings -> Windows Defender Firewall properties;
2. В настройках каждого сетевого профиля есть раздел Protected network connections. Нажмите кнопку Customize;
3. Снимите галки с тех сетевых интерфейсов, для которых нужно отключить брандмауэр.
4. Аналогичным образом отключите защиту сетевых интерфейсов брандмуэром в настройках других сетевых профилей.

Когда вы отключаете брандмауэр, в трее начнет отображаться соответствующее уведомление.

Чтобы скрыть это всплывающее уведомление, добавьте следующий параметр реестра:

reg add "HKLM\Software\Microsoft\Windows Defender Security Center\Notifications" /v "DisableNotifications" /t REG_DWORD /d "1" /f

Обратите внимание, что в Windows есть отдельная системная служба Windows Defender Firewall (
mpssvc
). Если вы отключите или приостановите эту службу, это не отключит брандмауэр до тех пор, пока вы сами не отключите защиту для сетевых профилей.

Однако через остановку служб вы можете отключить встроенный антивирус Защитник Windows.

Отключить брандмауэр в окне «Безопасность Windows»

Обычный метод, который позволяет выполнить отключение брандмауэра – применение окна «Безопасность Windows» и определенных характеристик:

1. Открыть окно «Безопасность Windows». Делаем это при помощи значка области уведомлений либо через «Параметры», используя путь Конфиденциальность и защита — Безопасность Windows — Открываем службу «Безопасность Windows».
2. Переходим в раздел «Брандмауэр и безопасность сети».
3. Нажимаем на профиль сети, у которого есть пометка «Активный» (используемый на данный момент), либо на другой профиль сети, который вы планируете отключить.
4. Переводим переключатель «Брандмауэр Microsoft Defender» в режиме «Откл» и подтверждаем отключение.

Так несложно можно отключить брандмауэр, для профиля, который был выбран.

Если для разных сетей у вас разные профили, можно выполнить отключение брандмауэра отдельно для каждой сети — и для локальной, и для общественной.

Создать новое правило Windows Firewall

Для управления правилами брандмауэра используются 9 командлетов:

• New-NetFirewallRule
• Copy-NetFirewallRule
• Disable-NetFirewallRule
• Enable-NetFirewallRule
• Get-NetFirewallRule
• Remove-NetFirewallRule
• Rename-NetFirewallRule
• Set-NetFirewallRule
• Show-NetFirewallRule

Рассмотрим несколько простых примеров открытия портов в Windows Firewall.

Например, вы хотите разрешить входящие TCP подключения на порты 80 и 443 для профилей Domain и Private. Воспользуйтесь такой командой:

Вы можете разрешить или заблокировать трафик для конкретной программы. Например, вы хотите заблокировать исходящие соединения для FireFox:

Разрешим входящее RDP подключение по стандартному порту TCP\3389 только с одного IP адреса:

New-NetFirewallRule -DisplayName "AllowRDP" –RemoteAddress 192.168.1.55 -Direction Inbound -Protocol TCP –LocalPort 3389 -Action Allow

Чтобы разрешить ICMP ping для адресов из указанных диапазонов IP адресов и подсети, используйте команды:

New-NetFirewallRule -DisplayName "Allow inbound ICMPv4" -Direction Inbound -Protocol ICMPv4 -IcmpType 8 -RemoteAddress $ips -Action Allow

New-NetFirewallRule -DisplayName "Allow inbound ICMPv6" -Direction Inbound -Protocol ICMPv6 -IcmpType 8 -RemoteAddress $ips -Action Allow

Добавить в правило файервола список IP адресов из текстового файла (по одному IP в строке):

В предыдущей статье мы показывали как с помощью PowerShell можно заблокировать доступ к сайтам не только по IP адресу, но и по DNS имени домена/сайта.

Разрешить все входящие подключения с указанного IP адреса (добавить адрес в белый список):

$IP = '192.168.1.20'
New-NetFirewallRule -DisplayName "Allow $IP" -Direction Inbound -Action Allow -RemoteAddress $IP

Изменить правило Windows Firewall с помощью PowerShell

Чтобы отредактировать правило брандмауэра, используется командлет Set-NetFirewallRule. Например, вы хотите разрешить входящие подключения с указанного IP адреса для ранее созданного правила:

Если нужно добавить в правило файервола несколько IP адресов, используйте такой скрипт:

Вывести все IP адреса, которые содержатся в правиле брандмауэра:

Удалить один IP адрес из правила:

Зачем отключать Windows Firewall?

Окно «Оповещение системы безопасности» является единственным, что может помешать пользователю при включенном защитнике, поэтому брандмауэр Windows работает очень ненавязчиво и многие предпочитают оставлять его включенным. Такой подход – наиболее оптимален, поскольку даже встроенной системы защиты – вполне достаточно для обычных пользователей.

Стоит добавить, многие разработчики вирусного ПО утверждают, что стандартная система безопасности Windows 10 имеет незначительное количество уязвимостей, которые заполняются при постоянных обновлениях ОС. Конечно это не гарантирует стопроцентную защиту от узкоспециализированного хакерского ПО, но обеспечивает высокую степень безопасности при попадании рядовых вирусов.

В некоторых случаях пользователь предпочитает устанавливать защиту своей системы от сторонних производителей. В таких случаях брандмауэр Windows можно отключить при установке нового антивирусного комплекса. Это поможет избежать конфликта между различными системами безопасности.

Часто задаваемые вопросы

Windows Firewall – это важный компонент встроенной системы защиты Windows. Его главным заданием является ограничение или блокировка входящего и исходящего трафика. Таким образом брандмауэр не позволяет вредоносным программам отправлять личные данные злоумышленникам и наоборот – вредоносные программы блокируются еще до попадания в систему.

В некоторых случаях Windows Firewall может воспринимать ваш трафик как вредоносный и блокировать полезные сайты. Кроме того, многие пользователи предпочитают защиту от сторонних разработчиков. В таком случае брандмауер Windows Firewall лучше отключить чтобы избежать конфликтов систем защиты.

Воспользуйтесь программой RS Partition Recovery. Она проста в использовании и позволит восстановить утерянные данные в 99% случаев. Вы также можете создать папку, добавить ее в исключения защитника Windows и уже в нее записать восстановленный файл.

Чтобы управлять исключениями, либо блокировать входящий или исходящий трафик откройте Пуск –> Панель управления –> Брандмауэр защитника Windows –> Дополнительные параметры –> Монитор брандмауэра. В зависимости от того, что именно нужно настроить выберите правила для входящих или исходящих подключений –> Создать правило. Более детально читайте на нашем сайте.

Чтобы полностью отключить брандмауэр Windows откройте коммандную строку от имени администратора, введите команду «netsh advfirewall set allprofiles state off» и нажмите Enter для подтверждения.

Монитор брандмауэра защитника Windows в режиме повышенной безопасности

Другой вариант — применение монитора брандмауэра Защитника Windows в режиме повышенной безопасности, чтобы полностью отключить брандмауэр Windows 11:

1. В поиске на панели задач начните набирать «повышенной безопасности» и нажмите по пункту «Монитор брандмауэра защитника Windows в режиме повышенной безопасности» в результатах поиска.
2. Когда окно откроется, нажимаем «Свойства брандмауэра защитника Windows».
3. В свойствах брандмауэра выбираем вкладки — «Общий профиль», «Частный профиль», «Профиль домена». На каждой их них можно отключить брандмауэр и сохранить выбранные настройки.

Как полностью отключить брандмауэр Windows?

Существует несколько быстрых способов полного отключения Windows Firewall, которые следует применять перед установкой новой защитной системы от сторонних производителей. Отключение защитника делает систему уязвимой для вредоносного ПО, поэтому отключать брандмауэр без нужды – строго не рекомендуется.

Отключение в редакторе локальной групповой политики и редакторе реестра

Если вы пользуетесь Windows 11 Pro либо Enterprise, то для отключения брандмауэра можно использовать редактор локальной групповой политики. Порядок действий следующий:

1. Нажимаем комбинацию клавиш Win+R, вводим msc и жмем Enter.
2. Когда откроется редактор локальной групповой политики, переходим в раздел Конфигурация компьютера — Административные шаблоны — Сеть — Сетевые подключения — Брандмауэр защитника Windows — Стандартный профиль (либо Профиль домена, если отключаем брандмауэр для сети домена, а не для локальной или общей сети).
3. Два раза жмем на пункт «Брандмауэр Защитника Windows: защита всех сетевых подключений», переключаем политику в режим «Отключено».
4. Сохраняем выбранные настройки.

Если на вашем компьютере Домашняя версия системы, то же самое можно сделать через редактор реестра:

1. Жмем комбинацию клавиш Win+R, вводим regedit и жмем Enter.
2. Находим в редакторе реестра раздел:

   и создаем подраздел под названием WindowsFirewall (если такого нет).

3. В этом подразделе в свою очередь создаем еще один DomainProfile (для сети домена) или StandardProfile (для локальной или общедоступной сети).
4. Тут нужно будет создать два параметра DWORD, назвав их EnableNotifications и EnableFirewall, сделав их значения, равными нулю.
5. Закрываем редактор и выполняем перезагрузку компьютера.

Важно: если выбрали один из данных методов, вы не сможете включить брандмауэр через Параметры или Панель управления. При попытке сделать это вам будет показано сообщение, что «Этот параметр управляется администратором» или «Управлением некоторыми параметрами осуществляет системный администратор для обеспечения безопасности».

Отключение защитника при помощи командной строки

Другим способом отключения защитника Windows является командная строка. Чтобы выполнить отключение, необходимо:

Нажать ПКМ по кнопке пуск и выбрать «Командная строка(администратор)», «Windows PowerShell (администратор)».

В открывшемся окне командной строки вводим «netsh advfirewall set allprofiles state off» и подтверждаем Enter.

Данная команда отключит все профили сети и Windows Firewall станет неактивным.

Для включения защитника следует воспользоваться командой «netsh advfirewall set allprofiles state on».

Настройки Windows Firewall

Для настройки параметров защитника Windows следует перейти в расширенные настройки брандмауэра. Для этого:

Шаг 1. Нажимаем по иконке поиска возле по «Пуск» и вводим фразу «Панель управления».

Шаг 2. В открывшемся окне, выбираем режим отображения «Мелкие значки» и переходим в «Брандмауэр защитника Windows».

Шаг 3. Чтобы перейти в окно расширенных настроек защиты, выбираем пункт «Дополнительные параметры».

Находясь в меню «Дополнительные параметры» можно посмотреть текущее состояние защитника и его основные настройки. Данная информация находится в первом пункте «Монитор брандмауэра».

Для создания собственных блокировок определенных приложений, следует воспользоваться графой «Правила для исходящих подключений», где следует выбрать пункт «Создать правило».

В открывшемся окне присутствует несколько вариантов блокировок сети. К примеру, можно заблокировать целый порт или конкретную программу. В нашем случае будет заблокирована конкретная программа, поэтому выбираем первый пункт и нажимаем далее.

Для блокировки конкретной программы, следует выбрать пункт «Путь программы» и выбрать необходимое приложение. Для примера, блокировка будет произведена на браузере Google Chrome. Исполняемый файл браузера находится по пути «C:\Program Files (x86)\Google\Chrome\Application». Его можно выбрать в пункте обзор, или самостоятельно ввести, скопировав путь из проводника.

Выбрав необходимую программу, следует выбрать действие, которое будет применено. Для блокировки, выбираем пункт «Блокировать подключение» и далее.

В следующем окне следует выбрать те профили, к каким будет применено созданное правило блокировки.

В последнем окне необходимо задать имя правилу. Для удобства поиска данной настройки называем её «Блокировка подключения Google Chrome» и подтверждаем действие кнопкой «Готово».

После выполнения вышеуказанных действий браузер Google Chrome перестанет подключаться к сети Интернет. Перезагрузка компьютера не потребуется.

Чтобы вернуть работоспособность браузера необходимо найти созданное правило в списке, нажать по нему ПКМ и выбрать пункт «Отключить». Если в настройке более нет необходимости, её можно удалить.

Стоит понимать, что не все исполнительные файлы относятся к подключению, поэтому в некоторых случаях блокировка может оказаться неэффективной. Чтобы устранить это, следует узнать через что происходит подключение к интернету и уже блокировать данный элемент. К примеру, многие онлайн игры, работающие на Jawa, подключаются к сети через исполнительный файл Jawa, а не собственный. Таким образом для блокировки игры необходимо заблокировать доступ исполнительного файла Jawa.

Отключение брандмауэра в панели управления

Одним из самых легких способов отключения защиты, является отключение через панель управления. Чтобы сделать это, необходимо:

Находясь в панели управления в пункте «Брандмауэр защитника Windows» следует перейти в пункт «Включение и выключение защитника».

В открывшемся окне достаточно перевести все пункты в отключенный режим и подтвердить действие кнопкой «Ок».

Как работает брандмауэр

Межсетевой экран можно представить как набор правил или фильтров, через которые проходит поток данных. Если трафик не соответствуют определенным критериям, он блокируется.

Правила задает администратор сети во время настройки. Есть три принципа организации доступа.

Что не запрещено, то разрешено. Межсетевой фильтр блокирует только те подлючения, которые запрещены правилами. Например, он запрещает подключаться к социальным сетям или скачивать файлы с известных пиратских сайтов.

Что не разрешено, то запрещено. Фаерволл блокирует все подключения, которые не внесены в список разрешенных. Пользователю доступно ограниченное количество ресурсов. Например, только необходимые для работы: сайт компании, сайт налоговой, доступ к корпоративным сервисам.

Запрещено все. Брандмауэр блокирует любые попытки подключения к сети. Некоторые государственные и коммерческие организации стремятся изолировать внутреннюю сеть. Сотрудники работают только внутри корпоративной сети и любой исходящий трафик блокируется маршрутизатором с фаерволом. 

Отключение службы брандмауэра

Если необходимо, то служба Windows 11, которая отвечает за то, чтобы брандмауэр работал, может быть отключена полностью. Перечень действий в данном случае следующий:

1. Запускаем редактор реестра: кликаем правой кнопкой мыши на кнопку «Пуск», останавливаемся на пункте «Выполнить», вводим regedit и жмем Enter.
2. Переходим в раздел реестра

3. В правой панели дважды нажмите по параметру с именем Start, чтобы установить значение «4».

4. Закрываем редактор и перезагружаем компьютер.

Теперь вы отключили брандмауэр, поменять его параметры при помощи обычных способов будет невозможно, а в панели «Безопасность Windows» этой вкладки не будет.

В заключении отметим, что если вы решили отключить брандмауэр, чтобы выполнить какую-то разовую задачу, то не забудьте потом снова его включить.

Как добавить исключения брандмауэра при помощи командной строки

Если нужно открыть конкретный порт или разрешить доступ в сеть конкретной программе, можно применять определенные команды, вводя их в командной строке от имени администратора.

Для программы

1-я команда — разрешает входящие подключения, 2-я — исходящие, для любого сетевого профиля:

netsh advfirewall firewall add rule name=”Имя_правила” dir=in action=allow program=”путь_к_программе” enable=yes

netsh advfirewall firewall add rule name=”Имя_правила” dir=out action=allow program=”путь_к_программе” enable=yes

Для порта

1-я команда — разрешает входящие подключения, 2-я — исходящие.

netsh advfirewall firewall add rule name=”Имя_правила” dir=in action=allow protocol=TCP localport=номер_порта

netsh advfirewall firewall add rule name=”Имя_правила” dir=out action=allow protocol=TCP localport=номер_порта

Если вы хотите больше узнать о том, как добавлять правила брандмауэра при помощи командной строки, вы можете использовать следующую команду:

netsh advfirewall firewall add rule ?

Задать вопросы или поделиться опытом использования нашей инструкции вы можете ниже в комментариях.

Как включить и отключить Windows Defender Firewall через PowerShell?

По умолчанию Defender Firewall в Windows включен.

Как вы видите, в Windows Firewall есть три типа сетевых профилей:

• Domain (Доменный) – применяется к компьютерам, включенным в домен Active Directory;
• Private (Частный) – домашние или рабочие сети;
• Public (Общий) – общедоступные сети.

В настройках профилей по-умолчанию разрешены все исходящие подключения и блокируется входящие (кроме разрешенных).

Информация о типах сетей хранится службой Network Location Awareness (NLA) в базе данных. Вы можете изменить профиль сети в Windows, если он определился некорректно.

Каждый профиль может отличаться используемым набором правил файервола. По умолчанию все сетевые интерфейсы компьютера защищены фаейрволом и к ним применяются все три типа профилей.

Чтобы полностью отключить Firewall в Windows, выполните команду:

Set-NetFirewallProfile -All -Enabled False

Либо укажите конкретный профиль вместо All:

Set-NetFirewallProfile -Profile Public -Enabled False

Чтобы включить файервол для всех трех сетевых профилей, используется команда:

Set-NetFirewallProfile -All -Enabled True

Вывести тип профиля, который применяется к сетевому подключению:

В этом примере к сетевому подключению Ethernet0 применяется доменный профиль (DomainAuthenticated).

Вы можете управлять правилами Windows Firewall на удаленных компьютерах, если на них настроен PowerShell Remoting (WinRM). В этом примере с помощью командлета Invoke-Command мы отключим файервол на удаленных компьютерах из списка:

Можно изменить действие по-умолчнию для профиля Public и заблокировать все входящие подключения.

Текущие настройки профиля можно вывести так:

Get-NetFirewallProfile -Name Public

Если вы управляете настройками Windows Firewall через GPO, вы можете вывести текущие результирующие настройки профилей так:

Get-NetFirewallProfile -policystore activestore

Проверим, что все параметры брандмауэра применяются ко всем сетевым интерфейса компьютера.

Если все интерфейсы защищены, команда должна вернуть:

DisabledInterfaceAliases : {NotConfigured}

Можно отключить определенный профиль для интерфейса (вывести список имен интерфейсов можно с помощью командлета Get-NetIPInterface).

Set-NetFirewallProfile -Name Public -DisabledInterfaceAliases "Ethernet0"

Как вы видите, теперь профиль Public не применяется к интерфейсу Ethernet0:

DisabledInterfaceAliases : {Ethernet0}

С помощью командлета
Set-NetFirewallProfile
вы можете изменить параметры профиля (действие по-умолчанию, журналирование, путь и размер лог файла, настройки оповещений и т.д.).

Вы можете настроить параметры логирования сетевых подключений на уровне каждого профиля. По умолчанию журналы Windows Firewall хранятся в каталоге
%systemroot%\system32\LogFiles\Firewall
, размер файла – 4 Мб. Вы можете изменить включить журналирование подключений и увеличить максимальный размер файла:

Включить/отключить правило Windows Defender Firewall

Вы можете включать/отключать правила файервола с помощью командлетов Disable-NetFirewallRule и Enable-NetFirewallRule.

Disable-NetFirewallRule –DisplayName 'WEB-Inbound'

Чтобы разрешить ICMP (ping), выполните команду:

Enable-NetFirewallRule -Name FPS-ICMP4-ERQ-In

Чтобы удалить правило брандмауэре используется командлет Remove-NetFirewallRule.

Remove-NetFirewallRule -DisplayName 'WEB-Inbound'

Чтобы сбросить все правила Microsoft Defender Firewall и восстановить настройки по умолчанию, выполните команду:

netsh advfirewall reset

(New-Object -ComObject HNetCfg.FwPolicy2).RestoreLocalFirewallDefaults()

Это очистит все пользовательские настройки и правила Microsoft Defender Firewall. В списке правил останутся только стандартные правила сетевого доступа Windows.

Перед сбросом можно экспортировать текущие настройки в файл.

netsh advfirewall export "C:\Backup\firewall-config.wfw"

В дальнейшем вы можете вернуть старые настройки файервола, импортировав файл с правилами:

netsh advfirewall import "C:\Backup\firewall-config.wfw"

Вывести список активных правил Windows Firewall

Список активных правил для входящего трафика можно вывести так:

Если, например, нам нужно вывести список блокирующих исходящих правил:

Если нужно отобразить имя программы в правиле:

Как вы видите командлет Get-NetFirewallRule не выводит порты сетевые порты и IP адреса для правил брандмауэра. Чтобы вывести всю информацию о разрешенных входящих (исходящих) подключениях в более удобном виде с отображением номеров портов, используйте такой скрипт:

PowerShell предоставляет широкие возможности по управлению правилами Windows Firewall из командной строки. Вы можете автоматически запускать скрипты PowerShell для открытия/закрытия портов при возникновении определенных событий. В следующей статье мы рассмотрим простую систему на базе PowerShell и Windows Firewall для автоматической блокировки IP адресов, с которых выполняется удаленный перебор паролей по RDP на Windows VDS сервере.