System Microsoft Windows XP z dodatkiem Service Pack 2 (SP2) obejmuje Zaporę systemu Microsoft Windows, zaktualizowane oprogramowanie zapory, które zastępuje funkcję Zapora połączenia internetowego (ICF, Internet Connection Firewall). Jeśli Zapora systemu Microsoft Windows blokuje port, który jest używany przez usługę lub program, można ją skonfigurować do utworzenia wyjątku. Zapora systemu Windows może blokować program lub usługę, jeśli występują następujące symptomy:
Programy nie odpowiadają na żądanie klienta.
Programy klienckie nie odbierają danych z serwera.
Alert zabezpieczeń Zapory systemu Windows może powiadomić użytkownika, że Zapora systemu Windows blokuje określony program. W takim przypadku użytkownik może odblokować program, zaznaczając opcję Odblokuj ten program w oknie dialogowym Alert zabezpieczeń. Aby łatwiej można było określić, które programy i porty są blokowane, Zaporę systemu Windows można skonfigurować do rejestrowania porzuconych pakietów. Przy użyciu programu pomocniczego Netsh Zapory systemu Windows można skonfigurować Zaporę systemu Windows i rejestrowanie Zapory systemu Windows z wiersza polecenia. Problem nie zawsze musi się wiązać ze zgodnością programów. Również ustawienia zasad grupy mogą uniemożliwiać uruchamianie pewnych programów. System Windows XP z dodatkiem Service Pack 2 (SP2) obejmuje kilka narzędzi, których można używać do rozwiązywania problemów z Zaporą systemu Windows.
Najlepszym sposobem rozwiązywania problemów z blokowaniem programów przez zaporę jest zmodyfikowanie programów, tak aby działały z zaporami filtrującymi, które akumulują stan. Jeśli zmodyfikowanie programu jest niemożliwe, można skonfigurować Zaporę systemu Windows, dodając wyjątki dla określonych portów lub programów. W tym artykule opisano symptomy błędów, które wiążą się z domyślną konfiguracją zapory systemu Windows XP z dodatkiem Service Pack 2, sposób skonfigurowania wyjątków dla portów i programów oraz sposób rozwiązywania problemów z ustawieniami.
Błędy związane z domyślną konfiguracją zapory objawiają się na dwa sposoby:
Programy klienckie mogą nie odbierać danych z serwera. Na przykład następujące programy klienckie mogą nie odbierać danych:
Klient FTP
Oprogramowanie do strumieniowego przesyłania multimediów
Powiadomienia o nowej poczcie w niektórych programach e-mail
Programy serwera uruchomione na komputerze z systemem Windows XP mogą nie odpowiadać na żądania klientów. Na przykład następujące programy serwera mogą nie odpowiadać:
Serwer sieci Web, taki jak Internetowe usługi informacyjne (IIS)
Pulpit zdalny
Udostępnianie plików
Uwagi
Błędy w przypadku programów sieciowych nie ograniczają się do problemów z zaporą. Ich przyczyną mogą być zmiany zabezpieczeń RPC lub DCOM. Dlatego należy sprawdzić, czy błędowi towarzyszy alert zabezpieczeń Zapory systemu Windows, który wskazuje, że jeden z programów jest blokowany.
Błędom usług nie towarzyszy alert zabezpieczeń Zapory systemu Windows, ponieważ usługi zazwyczaj nie są skojarzone z sesją logowania użytkownika. Jeśli błąd jest związany z usługą, należy skonfigurować zaporę zgodnie z opisem w sekcji „Konfigurowanie Zapory systemu Windows przy użyciu Centrum zabezpieczeń systemu Windows”.
Jeśli blokowany jest program, może pojawić się następujący alert zabezpieczeń Zapory systemu Windows:
Aby pomóc w ochronie tego komputera, Zapora systemu Windows zablokowała temu programowi możliwość odbierania niechcianych informacji z Internetu lub sieci.
Nazwa: Nazwa_programu Wydawca: Nazwa_wydawcy
Odblokuj ten program
Nadal blokuj ten program
Nadal blokuj ten program, ale zapytaj mnie ponownie później
Konfigurowanie Zapory systemu Windows przy użyciu Centrum zabezpieczeń systemu Windows
Dodawanie wyjątku dla programu
Dodanie programu do listy wyjątków powoduje, że zapora otwiera zakresy portów, które mogą się zmieniać przy każdym uruchomieniu programu. Aby dodać program do listy wyjątków, wykonaj następujące kroki:
Użyj konta administratora do zalogowania się.
Aby uzyskać dodatkowe informacje dotyczące sposobu określenia, czy konto użyte do zalogowania się jest kontem administratora, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
871211
(http://support.microsoft.com/kb/871211/PL/
)
How to check if you are logged in as an administrator and if a group policy is in place for your computer
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie
Wscui.cpl, a następnie kliknij przycisk OK.
W oknie Centrum zabezpieczeń systemu Windows kliknij przycisk Zapora systemu Windows.
Na karcie Wyjątki kliknij przycisk Dodaj program.
Na liście programów kliknij nazwę programu, który chcesz dodać, a następnie kliknij przycisk OK. Jeśli nazwa żądanego programu nie znajduje się na liście, kliknij przycisk Przeglądaj, aby go zlokalizować, kliknij go, a następnie kliknij przycisk OK.
UWAGA: Jeśli nie wiesz, gdzie znajduje się ten program, skontaktuj się z jego dostawcą i zapytaj o lokalizację programu.
Aby uzyskać informacje dotyczące sposobu skontaktowania się z dostawcą programu, kliknij numer odpowiedniego artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
65416
(http://support.microsoft.com/kb/65416/PL/
)
Hardware and software vendor contact information, A-K
60781
(http://support.microsoft.com/kb/60781/PL/
)
Hardware and software vendor contact information, L-P
60782
(http://support.microsoft.com/kb/60782/PL/
)
Hardware and software vendor contact information, Q-Z
Kliknij przycisk OK, aby zamknąć Zaporę systemu Windows.
Przetestuj program, aby sprawdzić, czy ustawienia zapory są poprawne.
Dodawanie wyjątku dla portu
Jeśli dodanie programu do listy wyjątków nie rozwiąże problemu, można ręcznie dodać porty. Aby to zrobić, trzeba najpierw sprawdzić, które porty są używane przez program. Najlepiej skontaktować się w tej sprawie z dostawcą. Jeśli nie można skontaktować się z dostawcą lub jeśli lista portów jest niedostępna, do określenia portów będących w użyciu można użyć narzędzia Netstat.exe.
Określanie portów
Uruchom program i spróbuj użyć jego funkcji sieciowych. Na przykład w przypadku programu multimedialnego spróbuj uruchomić strumień audio. W przypadku serwera sieci Web spróbuj uruchomić usługę.
W wierszu polecenia wpisz polecenie Netstat –ano >
netstat.txt, a następnie naciśnij klawisz ENTER. To polecenie tworzy plik Netstat.txt. Ten plik zawiera listę wszystkich portów nasłuchujących.
W wierszu polecenia wpisz polecenie Tasklist >
tasklist.txt, a następnie naciśnij klawisz ENTER. Jeśli dany program jest uruchamiany jako usługa, wpisz zamiast polecenia Tasklist >
tasklist.txt
polecenie Tasklist /svc > tasklist.txt, aby uzyskać listy usług ładowanych w każdym procesie.
Otwórz plik Tasklist.txt, a następnie zlokalizuj program, z którym masz problemy. Zanotuj identyfikator danego procesu, a następnie otwórz plik Netstat.txt. Zanotuj wszelkie wpisy, które są związane z tym identyfikatorem procesu, oraz nazwę używanego protokołu.
Jeśli numery portów dla procesu są mniejsze niż 1024, to prawdopodobnie się nie zmieniają. Jeśli używane numery portów są większe niż 1024, program może używać zakresu portów. Dlatego otwarcie pojedynczych portów może nie rozwiązać problemu.
Dodawanie wyjątku dla portu
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie
Wscui.cpl, a następnie kliknij przycisk OK, aby otworzyć Zaporę systemu Windows.
Kliknij kartę Wyjątki, a następnie kliknij przycisk Dodaj port, aby wyświetlić okno dialogowe Dodawanie portu.
Wprowadź numer portu używany przez program.
Wybierz protokół TCP lub UDP w zależności od tego, którego z nich używa program.
W polu Nazwa wpisz opisową nazwę portu.
Kliknij przycisk Zmień zakres, aby wyświetlić lub ustawić zakres wyjątku dla portu, a następnie kliknij przycisk OK.
Kliknij przycisk OK, aby zamknąć okno dialogowe Dodawanie portu.
Aby sprawdzić, czy ustawienia portu są poprawne dla danego programu, przetestuj ten program.
Włączenie rejestrowania pomaga określić źródło ruchu przychodzącego i dostarcza szczegółowych informacji o tym, który ruch jest blokowany. Domyślny plik dziennika to %Windir%\pfirewall.log. Aby włączyć rejestrowanie, wykonaj następujące kroki:
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie
Firewall.cpl, a następnie kliknij przycisk OK.
Kliknij kartę Zaawansowane.
W obszarze Rejestrowanie zabezpieczeń kliknij przycisk Ustawienia.
W oknie dialogowym Ustawienia dziennika kliknij pole wyboru Rejestruj porzucone pakiety, aby je zaznaczyć, a następnie kliknij przycisk OK.
Kliknij przycisk OK, aby zamknąć Zaporę systemu Windows.
UWAGA: Sukcesy wychodzące nie są rejestrowane. Ruch wychodzący, który nie jest blokowany, nie jest rejestrowany.
Interpretowanie pliku dziennika
W przypadku każdego rejestrowanego pakietu zbierane są następujące informacje:
Zwiń tę tabelęRozwiń tę tabelę
Pola
Opis
Przykład
Date
Wyświetla rok, miesiąc i dzień wystąpienia rejestrowanej transakcji. Daty są rejestrowane w formacie RRRR-MM-DD, gdzie RRRR to rok, MM to miesiąc, a DD to dzień.
2001-01-27
Time
Wyświetla godzinę, minutę i sekundę wystąpienia rejestrowanej transakcji. Godziny są rejestrowane w formacie GG:MM:SS, gdzie GG to godzina w formacie 24-godzinnym, MM to liczba minut, a SS to liczba sekund.
21:36:59
Action
Wskazuje operację, która była obserwowana przez zaporę. Opcje dostępne dla zapory to OPEN, CLOSE, DROP i INFO-EVENTS-LOST. Akcja INFO-EVENTS-LOST wskazuje liczbę zdarzeń, które wystąpiły, ale nie zostały zarejestrowane w dzienniku.
OPEN
Protocol
Wyświetla nazwę protokołu użytego do komunikacji. Wpis protokołu może być również liczbowym oznaczeniem pakietów, które nie używają protokołu TCP, UDP ani ICMP.
TCP
src-ip
Wyświetla źródłowy adres IP, czyli adres IP komputera, który próbuje ustanowić komunikację.
192.168.0.1
dst-ip
Wyświetla docelowy adres IP.
192.168.0.1
src-port
Wyświetla źródłowy numer portu komputera wysyłającego. Wpis src-port jest rejestrowany w formie liczby całkowitej z zakresu od 1 do 65 535. Tylko protokoły TCP i UDP wyświetlają prawidłowy wpis src-port. Wszystkie inne protokoły wyświetlają następujący wpis src-port: -.
4039
dst-port
Wyświetla numer portu komputera docelowego. Wpis dst-port jest rejestrowany w formie liczby całkowitej z zakresu od 1 do 65 535. Tylko protokoły TCP i UDP wyświetlają prawidłowy wpis dst-port. Wszystkie inne protokoły wyświetlają następujący wpis dst-port: -.
53
size
Wyświetla rozmiar pakietu w bajtach.
60
tcpflags
Wyświetla flagi sterujące TCP, które znajdują się w nagłówku TCP pakietu IP:
Ack — Pole potwierdzenia jest istotne
Fin — Koniec danych od nadawcy
Psh — Funkcja Push
Rst — Resetowanie połączenia
Syn — Synchronizowanie numerów sekwencji
Urg — Pole Urgent Pointer jest istotne
Flagi są zapisywane wielkimi literami.
AFP
tcpsyn
Wyświetla numer sekwencyjny TCP w pakiecie.
1315819770
tcpack
Wyświetla numer potwierdzenia TCP w pakiecie.
0
tcpwin
Wyświetla rozmiar okna TCP (w bajtach) w pakiecie.
64240
icmptype
Wyświetla numer, który reprezentuje pole Type komunikatu ICMP.
8
icmpcode
Wyświetla numer, który reprezentuje pole Code komunikatu ICMP.
0
info
Wyświetla wpis informacyjny, który zależy od typu akcji. Na przykład akcja INFO-EVENTS-LOST tworzy wpis określający liczbę zdarzeń, które wystąpiły, ale nie zostały zarejestrowane w dzienniku od czasu ostatniego wystąpienia tego typu zdarzenia.
23
UWAGA: W przypadku pól, odnośnie do których nie ma żadnych informacji, używany jest wpis w postaci łącznika (-).
Program pomocniczy Netsh Zapory systemu Windows został dodany do systemu Windows XP w dodatku Microsoft Advanced Networking Pack. Ten program pomocniczy wiersza polecenia był wcześniej stosowany z Zaporą systemu Windows w wersji IPv6. W systemie Windows XP z dodatkiem Service Pack 2 obejmuje on obsługę konfigurowania protokołu IPv4.
Przy użyciu programu pomocniczego Netsh można obecnie:
Konfigurować domyślny stan Zapory systemu Windows. (Dostępne opcje to Wyłącz, Włącz
i Włącz bez wyjątków).
Konfigurować porty, które muszą być otwarte.
Konfigurować porty, tak aby umożliwiały globalny dostęp do lokalnej podsieci lub go ograniczały.
Otwierać porty na wszystkich interfejsach lub tylko na określonym interfejsie.
Konfigurować opcje rejestrowania.
Konfigurować opcje obsługi protokołu ICMP (Internet Control Message Protocol).
Dodawać lub usuwać programy z listy wyjątków.
Te opcje konfiguracji dotyczą Zapory systemu Windows zarówno w wersji IPv4, jak i IPv6, chyba że określona funkcja nie istnieje w danej wersji Zapory systemu Windows.
Zbieranie danych diagnostycznych
Informacje o konfiguracji i stanie Zapory systemu Windows można pobrać w wierszu polecenia za pomocą narzędzia Netsh.exe. To narzędzie dodaje obsługę zapory IPv4 do następującego kontekstu Netsh:
netsh firewall
Aby użyć tego kontekstu, wpisz polecenie netsh firewall w wierszu polecenia, a następnie użyj dodatkowych poleceń Netsh według potrzeby. Następujące polecenia są przydatne do zbierania informacji o stanie i konfiguracji zapory:
Netsh firewall show state
Netsh firewall show config
Porównując dane wyjściowe tych poleceń z danymi wyjściowymi polecenia netstat –ano, można określić programy, które mogą mieć otwarte porty nasłuchujące i które nie mają odpowiednich wyjątków w konfiguracji zapory. Obsługiwane polecenia dotyczące zbierania danych i konfiguracji wymieniono w następujących tabelach.
UWAGA: Ustawienia może modyfikować tylko administrator.
Zbieranie danych
Zwiń tę tabelęRozwiń tę tabelę
Polecenie
Opis
show allowedprogram
Wyświetla dozwolone programy.
show config
Wyświetla szczegółowe informacje o konfiguracji lokalnej.
show currentprofile
Wyświetla bieżący profil.
show icmpsetting
Wyświetla ustawienia ICMP.
show logging
Wyświetla ustawienia rejestrowania.
show opmode
Wyświetla tryb działania.
show portopening
Wyświetla porty podlegające wyjątkowi.
show service
Wyświetla usługi.
show state
Wyświetla bieżące informacje o stanie.
show notifications
Wyświetla bieżące ustawienia powiadomień.
Konfiguracja
Zwiń tę tabelęRozwiń tę tabelę
Polecenie
Opis
add allowedprogram
Służy do dodawania wyjątku dla ruchu sieciowego przez określenie nazwy pliku programu.
set allowedprogram
Służy do modyfikowania ustawień istniejącego programu dozwolonego.
delete allowedprogram
Służy do usuwania istniejącego programu dozwolonego.
set icmpsetting
Służy do określania dozwolonego ruchu ICMP.
set logging
Służy do określania opcji rejestrowania dla Zapory systemu Windows — albo globalnie, albo dla określonego połączenia (interfejsu).
set opmode
Służy do określania trybu działania Zapory systemu Windows — albo globalnie, albo dla określonego połączenia (interfejsu).
add portopening
Służy do dodawania wyjątku dla ruchu sieciowego przez określenie portu TCP lub UDP.
set portopening
Służy do modyfikowania ustawień istniejącego otwartego portu TCP lub UDP.
delete portopening
Służy do usuwania istniejącego otwartego portu TCP lub UDP.
set service
Służy do akceptowania lub odrzucania ruchu RPC i DCOM, udostępniania plików i drukarek oraz ruchu UPnP.
set notifications
Służy do określania, czy użytkownik ma być powiadamiany, gdy programy próbują otworzyć porty.
reset
Przywraca domyślną konfigurację zapory. Działa tak samo, jak przycisk Przywróć domyślne w interfejsie Zapory systemu Windows.
Oprócz problemów ze zgodnością programów w przypadku Zapory systemu Windows mogą występować inne problemy. Aby zdiagnozować te problemy, wykonaj następujące kroki:
Aby sprawdzić, czy protokół TCP/IP działa poprawnie, użyj polecenia ping w celu przetestowania adresu sprzężenia zwrotnego (127.0.0.1) i przypisanego adresu IP.
Sprawdź konfigurację w interfejsie użytkownika, aby ustalić, czy dla zapory nieumyślnie nie ustawiono opcji Wyłącz lub Włącz bez wyjątków.
Użyj poleceń netsh, aby uzyskać informacje o stanie i konfiguracji i sprawdzić, czy jakiekolwiek niezamierzone ustawienia nie zakłócają prawidłowego działania.
Określ stan usługi Zapora systemu Windows/Udostępnianie połączenia internetowego, wpisując następujące polecenie w wierszu polecenia:
sc query
sharedaccess
(Krótka nazwa tej usługi to SharedAccess). Jeśli ta usługa nie uruchamia się, rozwiąż problemy z jej uruchamianiem na podstawie kodu zakończenia Win32.
Określ stan sterownika zapory Ipnat.sys, wpisując następujące polecenie w wierszu polecenia:
sc query ipnat
To polecenie zwraca również kod zakończenia Win32 z ostatniej próby uruchomienia. Jeśli sterownik nie uruchamia się, użyj takiej samej procedury rozwiązywania problemów, jak w przypadku każdego innego sterownika.
Jeśli sterownik i usługa nie uruchamiają się i żadne związane z tym błędy nie są rejestrowane w dziennikach zdarzeń, użyj przycisku Przywróć domyślne na karcie Zaawansowane okna dialogowego Zapora systemu Windows, aby wyeliminować potencjalne problemy z konfiguracją.
Jeśli problem nadal nie zostanie rozwiązany, poszukaj ustawień zasad, które mogą prowadzić do nieoczekiwanego zachowania. Aby to zrobić, wpisz polecenie GPResult /v > gpresult.txt w wierszu polecenia, a następnie poszukaj w wynikowym pliku tekstowym skonfigurowanych zasad, które wiążą się z zaporą.
W jaki sposób możemy poprawić jakość tych informacji?
W celu ochrony prywatności do opinii nie należy dołączać informacji kontaktowych.
Dziękujemy! Państwa opinia pozwoli nam udoskonalić nasze materiały pomocnicze. Więcej informacji o metodach pomocy można znaleźć w witrynie Pomoc techniczna.
Powrót na górę
