Брандмауэр Windows 11 25H2 без паники: базовые правила настройки + полезные powershell команды 🔒

Канал «T.E.X.H.O Windows & Linux» подходит к брандмауэру Windows как к рабочему инструменту системного администратора, а не как к страшной кнопке, которую лучше не трогать 🙂

Эта статья — практическое руководство: меньше теории, больше конкретных шагов, готовых настроек и PowerShell‑скриптов.

Быстрый лайфхак для новичков 💡

Если компьютер используется дома и время от времени «теряется» в сети (игры не видят друг друга, не открываются общие папки), а при этом страшно лезть в сложные меню, есть простой приём:

1. Открыть «Параметры».
2. Перейти в раздел «Конфиденциальность и безопасность».
3. Открыть пункт «Брандмауэр Защитника Windows».
4. Убедиться, что для профиля «Частная сеть» брандмауэр включён, а для приложений, которым действительно доверяете, доступ разрешён.

В девяти случаях из десяти этого достаточно, чтобы и не потерять безопасность, и не мучиться с неработающими программами 😊

Главные настройки брандмауэра Windows: пошагово и без лишних слов ⚙️

Ниже — последовательность настроек, которую удобно выполнять «сверху вниз»: от общих параметров к точным правилам и затем к автоматизации через PowerShell.

1. Проверка профилей сети: на чём вообще стоит брандмауэр

В Windows для брандмауэра используются три сетевых профиля:

• Доменный профиль — когда компьютер в рабочем домене.
• Частный профиль — домашние и доверенные сети.
• Общедоступный профиль — незнакомые и опасные сети (гостевые, общественный Wi‑Fi и так далее).

Порядок проверки:

1. Открыть «Параметры».
2. Перейти в «Конфиденциальность и безопасность» → «Брандмауэр Защитника Windows».
3. В верхней части окна просмотреть состояние для трёх профилей: «Доменная сеть», «Частная сеть», «Общедоступная сеть».

Что рекомендуется для новичка:

• Частная сеть — брандмауэр включён, входящие подключения по умолчанию блокируются, но отдельные доверенные приложения разрешены.
• Общедоступная сеть — брандмауэр обязательно включён, никаких лишних разрешений; всё, что не требуется прямо сейчас, блокируется.
• Доменная сеть — если это домашний компьютер, скорее всего, этот профиль не используется; если рабочий, политику чаще всего задаёт администратор.

========================

✅ Подпишитесь на канал - (это бесплатно и очень помогает алгоритму)

❤️ Поставьте лайк - (это один клик, а нам очень важно)

🔄 Репостните друзьям - (которые играют в танки и жалуются на FPS)

💰 Задонатьте (Даже 50 руб. - это топливо для новых статей, скриптов и пошаговых инструкция для Вас. Большое Спасибо понимающим! 🙏

💰ПОДДЕРЖАТЬ КАНАЛ МОЖНО ТУТ ( ОТ 50 РУБЛЕЙ )💰

Или сделать любой перевод по ССЫЛКЕ или QR-коду через СБП. Быстро, безопасно и без комиссии. ( Александр Г. ) "Т.Е.Х.Н.О Windows & Linux".

=========================

2. Базовая защита в два клика: включить брандмауэр для всех профилей

Для тех, кто хочет быстро убедиться, что защита вообще активна, удобно один раз выполнить настройку через PowerShell.

Открывается PowerShell с правами администратора, затем выполняется:

Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled True

Этот скрипт включает брандмауэр сразу для всех трёх профилей, если он вдруг был отключён.

3. Управление тем, что уходит в сеть: исходящие подключения 🚀

По умолчанию Windows разрешает исходящие подключения большинству программ. Это удобно, но не всегда безопасно: любая малоизвестная утилита может тихо «общаться» в сети.

Новичку стоит начать с простого правила: заблокировать исходящий трафик для конкретной нежелательной программы.

Пошагово через графический интерфейс:

1. Нажать сочетание клавиш Win + R.
2. Ввести wf.msc и нажать Enter — откроются «Дополнительные параметры брандмауэра Защитника Windows».
3. В левой панели выбрать «Правила для исходящего подключения».
4. Справа нажать «Создать правило…».
5. Выбрать тип «Для программы» и нажать «Далее».
6. Указать путь к исполняемому файлу (например, к игре, которую нужно ограничить).
7. На шаге «Действие» выбрать «Блокировать подключение».
8. На шаге «Профиль» оставить отмеченными те профили, где ограничения нужны (обычно «Частный» и «Общедоступный»).
9. Задать понятное имя (например, «Блокировка исходящих для игры …») и нажать «Готово».

То же самое можно сделать командой в PowerShell:

New-NetFirewallRule `
-DisplayName "Блокировка исходящих для игры" `
-Direction Outbound `
-Program "C:\Games\Game.exe" `
-Action Block `
-Profile Private,Public

Такое правило не даёт программе выходить в интернет, но не ломает работу других приложений.

4. Что можно пускать внутрь: входящие подключения 🧱

Следующий логичный шаг — настроить входящие подключения: то, что приходит на компьютер извне.

Наиболее типичная задача — разрешить доступ к определённой службе или приложению на частной сети, но не разрешать его в общедоступных сетях.

Пример 1. Разрешить удалённый рабочий стол только дома

Если используется удалённый рабочий стол, безопаснее не открывать его везде подряд, а ограничить только частным профилем:

Через интерфейс:

1. Открыть wf.msc.
2. В левой панели выбрать «Правила для входящего подключения».
3. Найти в списке группу правил, которая относится к удалённому рабочему столу.
4. В свойствах нужного правила на вкладке «Дополнительно» выбрать, что правило действует только для профиля «Частный».

Через PowerShell можно создать собственное правило для порта удалённого рабочего стола (3389):

New-NetFirewallRule `
-DisplayName "Удалённый рабочий стол (частная сеть)" `
-Direction Inbound `
-Protocol Tcp `
-LocalPort 3389 `
-Action Allow `
-Profile Private

Такой подход уменьшает риск того, что к компьютеру попытаются подключиться из общественной сети.

Пример 2. Разрешить игру или сервер на конкретном порту

Если нужно, чтобы домашний игровой сервер или программа были доступны другим устройствам в домашней сети:

New-NetFirewallRule `
-DisplayName "Игровой сервер в локальной сети" `
-Direction Inbound `
-Protocol Tcp `
-LocalPort 27015 `
-Action Allow `
-Profile Private

Здесь важно:

• Разрешается только один порт.
• Разрешение действует только на частном профиле.
• При необходимости правило всегда можно временно отключить.

5. Разумная структура правил: не всё подряд, а по типам 📊

Чтобы не утонуть в десятках записей, брандмауэр стоит настраивать осмысленными группами. Удобно разделить правила по типу:

• Для приложений — когда важно контролировать конкретные программы.
• Для портов и протоколов — когда нужно открыть или закрыть определённый порт.
• Для служб — чтобы управлять системными службами, не копаясь в исполняемых файлах.
• Пользовательские комплексные правила — более сложные комбинации условий (например, фильтрация по адресу отправителя или по адаптеру).

При создании новых правил имеет смысл придерживаться такого подхода:

1. Сначала спросить себя: «Нужно открыть именно программу или именно порт?»
2. Если программа одна — лучше создать правило для неё.
3. Если нужно обеспечить доступ к определённому порту для разных приложений — логичнее правило по порту.
4. Службы трогать, если понятно, какая служба за что отвечает.

Так поддерживается и порядок, и возможность быстро разобраться через год, что и зачем было настроено 🙂

Канал «Каморка Программиста» — это простые разборы программирования, языков, фреймворков и веб-дизайна. Всё для новичков и профессионалов.

Присоединяйся прямо сейчас.

6. Ведение журнала: кто стучится и что блокируется 📜

Даже при базовой настройке полезно включить журнал брандмауэра. Это помогает увидеть:

• какие подключения блокируются;
• какие порты чаще всего запрашиваются;
• нет ли подозрительной активности.

Включить журнал удобно одной командой в PowerShell:

Set-NetFirewallProfile `
-Profile Domain,Private,Public `
-LogBlocked True `
-LogAllowed False `
-LogFileName "C:\Windows\System32\LogFiles\Firewall\pfirewall.log" `
-LogMaxSizeKilobytes 32767

Что делает эта команда:

• включает запись блокируемых подключений;
• отключает фиксацию разрешённых (чтобы не раздувать журнал);
• задаёт файл журнала и его максимальный размер.

Журнал можно затем анализировать вручную или с помощью дополнительных утилит.

7. Резервная копия настроек: обязательный шаг перед экспериментами 💾

Перед любыми серьёзными изменениями правил брандмауэра канал настоятельно рекомендует сделать резервную копию. Это особенно важно, если впереди — много ручных правок или сложные сценарии.

Ниже — простой PowerShell‑скрипт, который:

• создаёт каталог для резервных копий (если его ещё нет);
• формирует имя файла с датой и временем;
• экспортирует в него текущие правила.

$backupFolder = "C:\FirewallBackup"
$timestamp = Get-Date -Format "yyyyMMdd-HHmm"
$backupPath = Join-Path $backupFolder "fw-$timestamp.wfw"

# Создаём каталог при необходимости
New-Item -ItemType Directory -Path $backupFolder -Force | Out-Null

# Экспортируем текущие правила брандмауэра
netsh advfirewall export $backupPath

Write-Host "Резервная копия правил брандмауэра сохранена в: $backupPath"

Рекомендуется запускать этот скрипт каждый раз перед крупными изменениями. Тогда откат всегда будет делом пары минут.

8. Небольшой набор полезных команд для контроля состояния 🔍

Несколько команд PowerShell, которые удобно держать под рукой:

Показать, включён ли брандмауэр и какие действия по умолчанию заданы:

Get-NetFirewallProfile |
Select-Object Name, Enabled, DefaultInboundAction, DefaultOutboundAction

Просмотреть все правила, которые явно блокируют подключения:

Get-NetFirewallRule -Action Block |
Select-Object DisplayName, Direction, Enabled, Profile

Посмотреть порты, связанные с блокирующими правилами:

Get-NetFirewallRule -Action Block |
Get-NetFirewallPortFilter |
Select-Object Name, Protocol, LocalPort

Такие команды помогают быстро оценить общую картину, не вникая в каждое правило через интерфейс.

К чему приводит базовая настройка: практический эффект 📈

После выполнения шагов из предыдущих разделов компьютер в типичном домашнем или небольшом рабочем окружении получает:

• Минимально необходимый набор открытых входящих портов.
  Открыто только то, что действительно нужно: удалённый рабочий стол в частной сети, игровой сервер, допустимая служба.
• Контроль над исходящими подключениями для подозрительных программ.
  Отдельные утилиты, игры или вспомогательные приложения не смогут «уходить» в сеть без явного разрешения.
• Чёткую структуру правил.
  Правила разделены по типам, снабжены осмысленными именами, их легко найти и при необходимости выключить.
• Рабочий журнал блокировок.
  Если вдруг что‑то перестало открываться или возникли подозрения по безопасности, можно заглянуть в журнал и увидеть, какие запросы блокируются.

На графике прироста защиты это выглядит так: от настроек «как есть» к структурированному, управляемому брандмауэру уровень контроля над сетью растёт плавно, но заметно.

Как откатиться, если что‑то пошло не так 🔄

Ни один администратор не застрахован от неудачного правила, после которого перестаёт открываться нужный сайт, не работает игра или не удаётся подключиться к удалённому рабочему столу. Важно не паниковать, а чётко понимать последовательность отката.

Вариант 1. Отключить или удалить конкретное правило

Самый мягкий способ:

1. Открыть wf.msc.
2. Выбрать раздел, где было создано правило: «Правила для входящего подключения» или «Правила для исходящего подключения».
3. Найти правило по имени.
4. Сначала просто снять галочку «Включено» и проверить, решилась ли проблема.
5. Если всё стало работать, но правило действительно не нужно — удалить его.

Такой подход удобен, когда проблема явно связана с последними изменениями.

Вариант 2. Восстановить настройки по умолчанию для всего брандмауэра

Если правил уже много, и сложно понять, что именно мешает, можно вернуть заводские настройки брандмауэра.

Через интерфейс:

1. Открыть wf.msc.
2. В левой панели выбрать самый верхний пункт «Брандмауэр Защитника Windows в режиме повышенной безопасности».
3. В правой панели найти пункт «Восстановить значения по умолчанию…».
4. Подтвердить действие.

Через PowerShell (с использованием той же команды netsh):

netsh advfirewall reset

Эта команда возвращает настройки брандмауэра в состояние по умолчанию.

Важно: именно поэтому резервная копия перед этим шагом особенно полезна.

Вариант 3. Импорт резервной копии правил

Если перед настройками была сделана резервная копия, откат выполняется одной командой.

Пример простого скрипта для восстановления:

$backupPath = "C:\FirewallBackup\fw-20260115-0900.wfw"

if (Test-Path $backupPath) {
netsh advfirewall import $backupPath
Write-Host "Правила брандмауэра восстановлены из резервной копии: $backupPath"
} else {
Write-Host "Файл резервной копии не найден: $backupPath"
}

Путь к файлу нужно заменить на актуальный. Такой способ удобен, когда настройки брандмауэра уже были приведены к комфортному состоянию и важно вернуться именно к нему.

Вопросы и ответы: то, что чаще всего спрашивают о брандмауэре ❓

Вопрос: Нужно ли отключать брандмауэр, если установлен сторонний защитник?

Ответ: В большинстве случаев нет. Современные защитные решения умеют работать совместно с брандмауэром Windows, а отключение встроенного инструмента лишь создаёт лишнее окно для атак. Отключение всех защитных компонентов имеет смысл только в редких случаях диагностики и обычно по рекомендации специалиста.

Вопрос: Почему игра или программа перестала подключаться к сети после моих настроек?

Ответ: Чаще всего проблема в новом правиле для исходящих подключений или в слишком жёсткой настройке общедоступного профиля. Нужно проверить:

1. Есть ли правило, которое явно блокирует программу или порт.
2. Не ограничено ли правило только одним профилем сети, отличным от текущего.

Временное отключение подозрительного правила — быстрый способ проверки.

Вопрос: Стоит ли переводить все исходящие подключения в режим «Блокировать по умолчанию»?

Ответ: Для домашнего пользователя это почти всегда слишком жёсткая мера: половина программ перестанет работать ожидаемо, а администратору придётся создавать десятки разрешающих правил. Такой подход оправдан в строго контролируемых средах, но для обычной системы надёжнее точечно блокировать только те программы, которым не доверяете.

Вопрос: Как понять, не мешает ли брандмауэр работе сетевого принтера или общего ресурса?

Ответ: Признаки проблемы: устройство «видно» в сети, но подключение не устанавливается. В таких случаях полезно:

1. Временно перевести подключение к сети в частный профиль и убедиться, что для него брандмауэр включён.
2. Проверить, нет ли правил, которые блокируют соответствующие службы или порты.
3. Включить журнал блокировок и попробовать подключиться ещё раз, затем посмотреть, какие записи появились в журнале.

Вопрос: Что безопаснее — удалять правило или временно его выключать?

Ответ: Если есть сомнения, лучше сначала только выключить правило. Так его всегда можно быстро вернуть в работу, если окажется, что оно было нужно. Удаление оправдано, когда правило явно устарело и точно не потребуется (например, для давно не используемой программы).

Вопрос: Можно ли настроить брандмауэр один раз и забыть?

Ответ: Нет, настройка брандмауэра должна идти вслед за изменениями в наборе программ и сценариях использования. При установке нового сервера, развёртывании удалённого доступа или запуске новых служб стоит каждый раз проверять, не появилась ли необходимость в дополнительном правиле. Регулярный контроль не значит ежедневное редактирование, но полное «забывание» о брандмауэре снижает пользу от его наличия.

Призыв к действию: поддержать канал и продолжить настройку системы 💬

Канал «T.E.X.H.O Windows & Linux» готов дальше разбирать настройку безопасности Windows и Linux на таком же практическом уровне: с реальными сценариями, рабочими скриптами и технической точностью.

Если эта статья помогла:

• оформить брандмауэр так, чтобы он не мешал, а защищал;
• навести порядок в правилах;
• перестать бояться раздела «Дополнительные параметры»,

то самое лучшее, что можно сделать в ответ — подписаться на канал, поставить отметку «нравится», поделиться ссылкой с теми, кто тоже настраивает свои системы, и при желании поддержать канал донатом. Это позволяет уделять больше времени подготовке подробных, выверенных материалов и проверке всех команд на реальных системах 🙂

#windows #windows11 #брандмауэр #безопасность #сетебезопасность #локальнаясеть #домашняясеть #общедоступнаясеть #сетевыеподключения #правилабрандмауэра #входящиеподключения #исходящиеподключения #powershell #powershellскрипты #защита #администрирование #настройкаwindows #удаленныйрабочийстол #сетевойпринтер #журналбрандмауэра #резервноекопирование #откатнастроек #сетевойэкран #windowsзащитник #wfmsc #локальныесерверы #игровойсервер #сетевыепорты #оформлениеправил