Güvenlik duvarı engelleme sorunlarını çözmenin en iyi yolu, programları duruma özel olarak filtre uygulayan güvenlik duvarlarıyla çalışacak biçimde değiştirmektir. Programı değiştiremezseniz, Windows Güvenlik Duvarı'nı belirli bağlantı noktaları ve programlar için özel durumlar ekleyecek biçimde yapılandırabilirsiniz. Bu makalede, Windows XP Service Pack 2 güvenlik duvarının varsayılan yapılandırması ile ilgili hata belirtileri, bağlantı noktaları ve programlar için özel durumların nasıl yapılandırılacağı ve güvenlik duvarı ayarlarında nasıl sorun giderileceği anlatılmaktadır.
Hata belirtilerini algılama
Varsayılan güvenlik duvarı yapılandırması ile ilgili olan hatalar iki biçimde görünür:
- İstemci programlar verileri bir sunucudan alamayabilir. Örneğin, aşağıdaki istemci programları verileri alamayabilir:
- Bir FTP istemcisi
- Çoklu ortam akış yazılımı
- Bazı e-posta programlarındaki yeni posta bildirimleri
- Windows XP tabanlı bir bilgisayarda çalışan sunucu programları, istemci isteklerine yanıt veremeyebilir. Örneğin, aşağıdaki sunucu programları yanıt veremeyebilir:
- Internet Information Services (IIS) gibi bir Web sunucusu
- Uzak Masaüstü
- Dosya paylaşımı
Notlar- Ağ programlarındaki hatalar, güvenlik duvarı sorunlarıyla sınırlı değildir. Bu hatalar, RPC veya DCOM güvenlik değişiklikleri nedeniyle oluşabilir. Bu nedenle, hatanın oluştuğu sırada bir programın engellendiğini bildiren bir Windows Güvenlik Duvarı Güvenlik Uyarısı'nın görüntülenip görüntülenmediğini belirlemelisiniz.
- Hizmet hatalarında bir Windows Güvenlik Duvarı Güvenlik Uyarısı görüntülenmez, çünkü hizmetler bir kullanıcı oturumuyla ilişkili değildir. Hata bir hizmetle ilişkiliyse, güvenlik duvarını "Windows Güvenlik Merkezi'ni kullanarak Windows Güvenlik Duvarı'nı yapılandırma" bölümünde anlatıldığı biçimde yapılandırın.
Bir program engelleniyorsa, aşağıdaki Windows Güvenlik Duvarı Güvenlik Uyarısı'nı alabilirsiniz:
Bilgisayarınızın korunmasına yardımcı olmak için, Windows Güvenlik Duvarı, bu programın Internet veya bir ağ üzerinden istenmeyen bilgileri almasını engelledi.
Ad:
Program_AdıYayımlayan:
Yayımcı_AdıBu programın engellenmesini kaldır
Bu programı engellemeye devam et
Bu programı engellemeye devam et, ancak daha sonra yeniden sor
Windows Güvenlik Duvarı hakkında daha fazlasını öğrenin.
Windows Güvenlik Duvarı Güvenlik Uyarısı'nı kullanarak Windows Güvenlik Duvarı'nı yapılandırma
Windows Güvenlik Duvarı Güvenlik Uyarısı, aşağıdaki üç seçeneği sunar:
- Bu programın engellenmesini kaldır.
- Bu programı engellemeye devam et.
- Bu programı engellemeye devam et, ancak daha sonra yeniden sor.
Programın engellenmesini kaldırmak için,
Güvenlik Uyarısı iletişim kutusunda
Bu programın engellenmesini kaldır seçeneğini ve sonra
Tamam'ı tıklatın.
Windows Güvenlik Merkezi'ni kullanarak Windows Güvenlik Duvarı'nı yapılandırma
Program özel durumu ekleme
Özel durum listesine bir program eklediğinizde, güvenlik duvarının program her çalıştığında değişebilen bir bağlantı noktaları aralığını açması sağlanır. Program özel durumu eklemek için, şu adımları izleyin:
- Yönetici hesabıyla oturum açın.
Oturum açmış olduğunuz hesabın bir yönetici hesabı olup olmadığını belirleme hakkında ek bilgi için, Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
871211
(http://support.microsoft.com/kb/871211/
)
Yönetici olarak oturum açmış olup olmadığınız ve bilgisayarınızda bir grup ilkesinin kullanılıp kullanılmadığı nasıl belirlenir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
- Başlat'ı ve sonra Çalıştır'ı tıklatın, Wscui.cpl yazın ve Tamam'ı tıklatın.
- Windows Güvenlik Merkezi penceresinde, Windows Güvenlik Duvarı'nı tıklatın.
- Özel Durumlar sekmesinde, Program Ekle'yi tıklatın.
- Programlar listesinde, eklemek istediğiniz programın adını ve sonra Tamam'ı tıklatın. Programın adı listede görünmüyorsa, Gözat'ı tıklatıp programı bulun ve ardından Tamam'ı tıklatın.
Not Programın yerini bilmiyorsanız, program satıcısına başvurup konumunu belirleyin.
Program satıcınıza başvurma hakkında bilgi için, Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki listeden uygun makale numarasını tıklatın:65416
(http://support.microsoft.com/kb/65416/
)
Üçüncü Taraf Donanım ve Yazılım Satıcıları İletişim Listesi, A-K (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
60781
(http://support.microsoft.com/kb/60781/
)
Üçüncü Taraf Donanım ve Yazılım Satıcıları İletişim Listesi, L-P (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
60782
(http://support.microsoft.com/kb/60782/
)
Üçüncü Taraf Donanım ve Yazılım Satıcıları İletişim Listesi, Q-Z (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
- Windows Güvenlik Duvarı'nı kapatmak için Tamam'ı tıklatın.
- Güvenlik duvarı ayarlarının doğru olduğunu doğrulamak için programı sınayın.
Bağlantı noktası özel durumu ekleme
Özel durum listesine bir program eklemek yoluyla bu sorunu gideremezseniz, bağlantı noktalarını el ile ekleyebilirsiniz. Bunu yapmak için, öncelikle program tarafından kullanılan bağlantı noktalarını belirlemelisiniz. Bağlantı noktası kullanımını belirlemenin güvenilir bir yolu, program satıcısına başvurmaktır. Satıcıyla bağlantı kuramazsanız veya bağlantı noktası listesi yoksa, Netstat.exe aracı yardımıyla, kullanılmakta olan bağlantı noktalarını belirleyebilirsiniz.
Bağlantı noktalarını belirleme
- Programı başlatın ve programın ağ özelliklerini kullanmaya çalışın. Örneğin, bir çoklu ortam programında, bir ses akışını başlatmaya çalışın. Web sunucusunda, hizmeti başlatmaya çalışın.
- Komut satırında, Netstat –ano > netstat.txt yazın ve ENTER tuşuna basın. Bu komut, Netstat.txt dosyasını oluşturur. Bu dosya, tüm dinleyen bağlantı noktalarını listeler.
- Komut isteminde, Tasklist > tasklist.txt yazın ve ENTER tuşuna basın. Söz konusu program bir hizmet olarak çalışıyorsa, Tasklist > tasklist.txt yerine Tasklist /svc > tasklist.txt yazıp, her işlemde yüklenen hizmetlerin listelenmesini sağlayın.
- Tasklist.txt dosyasını açın ve sorun gidermek istediğiniz programı bulun. İşlemin tanımlayıcısını yazın ve Netstat.txt dosyasını açın. İşlem Tanımlayıcısı ve kullanılan protokol ile ilişkili olan tüm girdileri not alın.
İşlemin bağlantı noktası numaraları 1024'ten küçükse, bu numaralar büyük olasılıkla değişmeyecektir. Kullanılan numaralar 1024'ten büyükse, program bir bağlantı noktaları aralığı kullanabilir. Bu nedenle, bu sorunu bağımsız bağlantı noktaları açıp gideremeyebilirsiniz.
Bağlantı noktası özel durumu ekleme
- Başlat'ı ve sonra Çalıştır'ı tıklatın, Wscui.cpl yazın ve Tamam'ı tıklatıp Windows Güvenlik Duvarı'nı açın.
- Özel Durumlar sekmesini tıklatın ve ardından Bağlantı Noktası Ekle'yi tıklatıp, Bağlantı Noktası Ekle iletişim kutusunu görüntüleyin.
- Programınızın kullandığı bağlantı noktası numarasını girin.
- Programınızın kullandığı protokole göre, TCP veya UDP protokollerinden birini seçin.
- Ad alanında, bağlantı noktası için açıklayıcı bir ad yazın.
- Bağlantı noktası özel durumunun kapsamını görüntülemek veya ayarlamak için Kapsamı Değiştir'i tıklatın ve sonra Tamam'ı tıklatın.
- Tamam'ı tıklatıp, Bağlantı Noktası Ekle iletişim kutusunu kapatın.
- Programınızın bağlantı noktası ayarlarının doğruluğunu onaylamak için, programı sınayın.
Günlük Dosyası Kullanma
Gelen trafiğin kaynağını belirleme ve hangi trafiğin engellendiği ile ilgili ayrıntıları sağlama amacıyla günlük dosyasını etkinleştirebilirsiniz. Varsayılan günlük dosyası %Windir%\pfirewall.log dosyasıdır. Günlüğü etkinleştirmek için, şu adımları izleyin:
- Başlat'ı ve sonra Çalıştır'ı tıklatın, Firewall.cpl yazın ve Tamam'ı tıklatın.
- Gelişmiş sekmesini tıklatın.
- Güvenlik Günlüğü'nde, Ayarlar'ı tıklatın.
- Günlük Ayarları'nda, Engellenen paketleri günlüğe kaydet onay kutusunu tıklatıp seçin ve ardından Tamam'ı tıklatın.
- Tamam'ı tıklatıp, Windows Güvenlik Duvarı'nı kapatın.
Not Başarıyla gönderilen paketler günlüğe kaydedilmez. Engellenmeden giden trafik günlüğe kaydedilmez.
Günlük dosyasını çevirme
Günlüğe kaydedilen her paket için aşağıdaki günlük bilgileri toplanır:
Bu tabloyu kapaBu tabloyu aç
| Alanlar | Açıklaması | Örnek |
| Tarih | Kaydedilen işlemin gerçekleştiği yılı, ayı ve günü görüntüler. Tarihler YYYY-AA-GG biçiminde kaydedilir; burada YYYY yılı, AA ayı ve GG de günü gösterir. | 2001-01-27 |
| Saat | Kaydedilen işlemin gerçekleştiği saati, dakikayı ve saniyeleri görüntüler. Saatler, şu biçimde kaydedilir: SS:DD:SS; burada ilk SS, 24 saat biçimine göre saati, DD dakikayı ve ikinci SS de saniyeyi gösterir. | 21:36:59 |
| Eylem | Güvenlik duvarı tarafından belirlenen eylemi gösterir. Güvenlik duvarında OPEN, CLOSE, DROP ve INFO-EVENTS-LOST seçenekleri kullanılabilir. INFO-EVENTS-LOST eylemi, gerçekleşmesine karşın günlüğe kaydedilmeyen olay sayısını gösterir. | OPEN |
| Protokol | İletişim için kullanılan protokolü görüntüler. Protokol girdisi, TCP, UDP veya ICMP kullanmayan paketler için bir sayı olabilir. | TCP |
| src-ip | İletişim kurmaya çalışan kaynağın veya bilgisayarın IP adresini görüntüler. | 192.168.0.1 |
| dst-ip | İletişim girişiminin hedef IP adresini görüntüler. | 192.168.0.1 |
| src-port | Gönderen bilgisayarın kaynak bağlantı noktası numarasını görüntüler. Src-port girdisi, 1 ile 65.535 arasındaki bir tam sayı biçiminde kaydedilir. Yalnızca TCP ve UDP, geçerli bir src-port girdisi görüntüler. Tüm diğer protokoller, src-port girdisi olarak - görüntüler. | 4039 |
| dst-port | Hedef bilgisayarın bağlantı noktası numarasını görüntüler. Dst-port girdisi, 1 ile 65.535 arasındaki bir tam sayı biçiminde kaydedilir. Yalnızca TCP ve UDP, geçerli bir dst-port girdisi görüntüler. üm diğer protokoller, dst-port girdisi olarak - görüntüler. | 53 |
| size | Paket boyutunu bayt olarak görüntüler. | 60 |
| tcpflags | IP paketinin TCP üstbilgisinde bulunan TCP denetim bayraklarını görüntüler: - Ack Bilgilendirme alanı önemli
- Fin Göndericiden başka veri yok
- Psh Gönderme işlevi
- Rst Bağlantıyı sıfırla
- Syn Sıra numaralarını eşitle
- Urg Acil İşaretleyici alanı önemli
Bayraklar, büyük harf olarak yazılır. | AFP |
| tcpsyn | Paketin TCP sıra numarasını görüntüler. | 1315819770 |
| tcpack | Paketin TCP bilgilendirme numarasını görüntüler. | 0 |
| tcpwin | Paketin TCP penceresi boyutunu bayt olarak görüntüler. | 64240 |
| icmptype | ICMP iletisindeki Tür alanını gösteren bir sayı görüntüler. | 8 |
| icmpcode | ICMP iletisindeki Kod alanını gösteren bir sayı görüntüler. | 0 |
| info | Gerçekleşen eylemin türüne bağlı olan bir bilgi girdisi görüntüler. Örneğin bir INFO-EVENTS-LOST eylemi, gerçekleşmesine karşın bu olay türünün son gerçekleşme süresinden itibaren günlüğe kaydedilmemiş olan olay sayısı için bir girdi oluşturur. | 23 |
Girdi ile ilgili bilgi bulunmayan alanlarda kesik çizgi (-) kullanılır.
Komut satırı desteği kullanma
Microsoft Gelişmiş Ağ Paketi'nde, Windows XP'ye Windows Güvenlik Duvarı Netsh Yardımcısı eklenmiştir. Bu komut satırı yardımcısı, önceden IPv6 Windows Güvenlik Duvarı'na uygulanıyordu. Windows XP Service Pack 2 ile birlikte, yardımcı bundan sonra IPv4'ü yapılandırma desteğini de içermektedir.
Netsh Yardımcısı ile, şunları yapabilirsiniz:
- Windows Güvenlik Duvarı'nın varsayılan durumunu yapılandırabilirsiniz. (Kapalı, Açık ve Özel durum olmadan açık seçenekleri kullanılabilir.)
- Açık olması gereken bağlantı noktalarını yapılandırabilirsiniz.
- Bağlantı noktalarını, yerel alt ağa genel erişime izin verecek veya erişimi kısıtlayacak biçimde yapılandırabilirsiniz.
- Bağlantı noktalarının tüm arabirimlerde veya yalnızca belirli bir arabirimde açık olmasını ayarlayabilirsiniz.
- Günlük seçeneklerini yapılandırabilirsiniz.
- Internet Denetimi İleti Protokolü (ICMP) işleme seçeneklerini yapılandırabilirsiniz.
- Programları özel durum listesine ekleyebilir veya listeden kaldırabilirsiniz.
Bu yapılandırma seçenekleri, hem IPv4 Windows Güvenlik Duvarı hem de belirli işlevlerin Windows Güvenlik Duvarı sürümünde bulunmadığı IPv6 Windows Güvenlik Duvarı için geçerlidir.
Tanılama verilerini toplama
Windows Güvenlik Duvarı yapılandırması ve durum bilgileri, Netsh.exe aracı kullanılarak komut satırından alınabilir. Bu araç, aşağıdaki Netsh kapsamına IPv4 güvenlik duvarı desteği ekler:
netsh firewall
Bu kapsamı kullanmak için, komut satırına
netsh firewall yazın ve gerekirse ek
Netsh komutları kullanın. Aşağıdaki komutlar, güvenlik duvarı durumunu ve yapılandırma bilgilerini toplamak için kullanılabilir:
- Netsh firewall show state
- Netsh firewall show config
Bu komutların çıkışlarını
netstat –ano komutu çıkışlarıyla karşılaştırıp, dinleme bağlantı noktaları açık olan ve karşılık gelen özel durumları güvenlik duvarı yapılandırmasında bulunmayan programları belirleyin. Desteklenen veri toplama ve yapılandırma komutları aşağıdaki tablolarda listelenmektedir.
Not Ayarlar, yalnızca bir yönetici tarafından değiştirilebilir.
Veri ToplamaBu tabloyu kapaBu tabloyu aç
| Komut | Açıklaması |
| show allowedprogram | İzin verilen programları görüntüler. |
| show config | Ayrıntılı yerel yapılandırma bilgilerini görüntüler. |
| show currentprofile | Geçerli profili görüntüler. |
| show icmpsetting | ICMP ayarlarını görüntüler. |
| show logging | Günlük ayarlarını görüntüler. |
| show opmode | İşletim modunu görüntüler. |
| show portopening | Özel durum oluşturulan bağlantı noktalarını görüntüler. |
| show service | Hizmetleri görüntüler. |
| show state | Geçerli durum bilgilerini görüntüler. |
| show notifications | Bildirimlerin geçerli ayarlarını görüntüler. |
Bu tabloyu kapaBu tabloyu aç
| Komut | Açıklaması |
| add allowedprogram | Programın dosya adını belirtmek yoluyla, özel durum oluşturulan trafiği eklemek için kullanılır. |
| set allowedprogram | Var olan bir izin verilen programın ayarlarını değiştirmek için kullanılır. |
| delete allowedprogram | Var olan bir izin verilen programı silmek için kullanılır. |
| set icmpsetting | İzin verilen ICMP trafiğini belirtmek için kullanılır. |
| set logging | Windows Güvenlik Duvarı'nın günlük seçeneklerini genel olarak veya belirli bir bağlantı (arabirim) için belirtmek amacıyla kullanılır. |
| set opmode | Windows Güvenlik Duvarı'nın işletim modunu genel olarak veya belirli bir bağlantı (arabirim) için belirtmek amacıyla kullanılır. |
| add portopening | Bir TCP veya UDP bağlantı noktası belirlemek yoluyla, özel durum oluşturulan trafiği eklemek için kullanılır. |
| set portopening | Var olan bir açık TCP veya UDP bağlantı noktasının ayarlarını değiştirmek için kullanılır. |
| delete portopening | Var olan bir açık TCP veya UDP bağlantı noktasını silmek için kullanılır. |
| set service | RPC ve DCOM trafiğini, dosya ve yazıcı paylaşımını ve UPnP trafiğini etkinleştirmek veya engellemek için kullanılır. |
| set notifications | Programlar bağlantı noktalarını açmaya çalıştıklarında kullanıcıya gönderilen bildirimlere izin verilip verilmediğini belirlemek için kullanılır. |
| reset | Güvenlik duvarı yapılandırmasını varsayılan ayarlarına sıfırlar. Bu, Windows Güvenlik Duvarı arabirimindeki Varsayılanları Geri Yükle düğmesiyle aynı işlevleri sağlar. |
Güvenlik duvarı sorunlarını giderme
Program uyumluluğu sorunlarının yanı sıra, Windows Güvenlik Duvarı'nda başka sorunlarla da karşılaşabilirsiniz. Bu adımları izleyip sorunları tanılayın:
- TCP/IP'nin düzgün çalıştığını doğrulamak için, ping komutunu kullanarak geri döngü adresini (127.0.0.1) ve atanmış IP adresini sınayın.
- Kullanıcı arabirimindeki yapılandırmayı doğrulayıp, güvenlik duvarının istem dışı olarak Kapalı veya Özel Durum Olmadan Açık seçeneklerinden birine ayarlanmış olup olmadığını belirleyin.
- Durum ve Yapılandırma bilgilerinin netsh komutlarını kullanarak, beklenen davranışa engel olan istenmeyen ayarlar olup olmadığını belirleyin.
- Komut satırına aşağıdaki komutu yazıp, Windows Güvenlik Duvarı/Internet Bağlantısı Paylaşımı hizmetinin durumunu belirleyin:
sc query sharedaccess
(Bu hizmetin kısa adı SharedAccess'tir.) Bu hizmet başlatılmazsa, Win32 çıkış koduna bağlı olarak hizmet başlatma sorunlarını giderin. - Komut satırına aşağıdaki komutu yazıp, Ipnat.sys güvenlik duvarı sürücüsünün durumunu belirleyin:
sc query ipnat
Bu komut, ayrıca son başlatma girişiminden Win32 çıkış kodunu da döndürür. Sürücü başlatılamıyorsa, sürücülere uygulanan sorun giderme adımlarını kullanın. - Sürücü ve hizmetin her ikisi de çalışıyorsa ve olay günlüklerinde ilgili bir hata bulunmuyorsa, Windows Güvenlik Duvarı özelliklerinin Gelişmiş sekmesinde bulunan Varsayılanları Geri Yükle seçeneğini kullanarak, olası yapılandırma sorunlarını ortadan kaldırın.
- Sorun yine de giderilmezse, beklenmeyen davranışı oluşturabilecek ilke ayarlarını belirlemeye çalışın. Bunu yapmak için, komut satırına GPResult /v > gpresult.txt yazın ve oluşturulan metin dosyasında güvenlik duvarıyla ilişkili olarak yapılandırılmış ilkeleri inceleyin.
Windows Güvenlik Duvarı Grup İlkesi'ni yapılandırma
Ağ yöneticinize başvurup, program ve senaryoların şirket ortamında çalışmasını engelleyen bir Grup İlkesi bulunup bulunmadığını belirleyin.
Windows Güvenlik Duvarı Grup İlkesi ayarları, aşağıdaki Grup İlkesi Nesne Düzenleyicisi eklenti yollarında bulunur:
- Bilgisayar Yapılandırması/Yönetim Şablonları/Ağ/Ağ Bağlantıları/Windows Güvenlik Duvarı
- Bilgisayar Yapılandırması/Yönetim Şablonları/Ağ/Ağ Bağlantıları/Windows Güvenlik Duvarı/ Etki Alanı Profili
- Bilgisayar Yapılandırması/Yönetim Şablonları/Ağ/Ağ Bağlantıları/Windows Güvenlik Duvarı/ Standart Profil
Bu konumlardan, aşağıdaki Grup İlkesi ayarlarını yapılandırabilirsiniz:
- Windows Güvenlik Duvarı: Kimliği doğrulanmış Internet Protokolü güvenliğinin (IPSec) geçirilmesine izin ver
- Windows Güvenlik Duvarı: Tüm ağ bağlantılarını koru
- Windows Güvenlik Duvarı: Özel durumlara izin verme
- Windows Güvenlik Duvarı: Program özel durumları tanımla
- Windows Güvenlik Duvarı: Yerel program özel durumlarına izin ver
- Windows Güvenlik Duvarı: Uzak yönetim özel durumuna izin ver
- Windows Güvenlik Duvarı: Dosya ve yazıcı paylaşımı özel durumuna izin ver
- Windows Güvenlik Duvarı: ICMP özel durumlarına izin ver
- Windows Güvenlik Duvarı: Uzak Masaüstü özel durumuna izin ver
- Windows Güvenlik Duvarı: Evrensel Tak ve Planla (UpnP) çerçevesi özel durumuna izin ver
- Windows Güvenlik Duvarı: Bildirimleri yasakla
- Windows Güvenlik Duvarı: Günlük dosyalarına izin ver
- Windows Güvenlik Duvarı: Çok noktaya yayın veya yayın isteklerine tek noktadan yanıtı yasakla
- Windows Güvenlik Duvarı: Bağlantı noktası özel durumlarını tanımla
- Windows Güvenlik Duvarı: Yerel bağlantı noktası özel durumlarına izin ver
Windows Güvenlik Duvarı Grup İlkesi ayarları hakkında daha fazla bilgi için, aşağıdaki teknik incelemeyi karşıdan yükleyin:
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Üste
