Güvenilir uygulamaları, programları, bağlantı noktalarını, hizmetleri ve IP adreslerini Windows Defender Güvenlik Duvarı'ndan geçirirken gerekenden fazla erişim açmamak için pratik bir kılavuz.
Windows Güvenlik Duvarı istisnası, belirli ağ trafiğinin Windows Defender Güvenlik Duvarı'ndan geçmesine izin veren bir izin kuralıdır. İstisna; belirli bir uygulamaya, masaüstü program dosyasına, Windows hizmetine, bağlantı noktası numarasına, protokole veya güvenilir bir IP adresinden gelen trafiğe izin verebilir.
Windows 10 ve Windows 11'de güvenlik duvarı istisnaları genellikle iki yerden birinde oluşturulur: basit Bir uygulamaya güvenlik duvarı üzerinden izin ver ekranı veya Gelişmiş Güvenlik Özellikli Windows Defender Güvenlik Duvarı adlı gelişmiş konsol. Gelişmiş konsol; yön, program yolu, protokol, bağlantı noktası, profil ve uzak adres kapsamı üzerinde daha fazla denetim sağlar.
Belirli bir uygulamaya veya yürütülebilir dosyaya güvenlik duvarı üzerinden izin verir. Çoğu masaüstü programı ve Microsoft Store uygulaması için en uygun seçenektir.
8080, 25565 veya 3389 gibi bir TCP ya da UDP bağlantı noktasına gelen trafiğe izin verir. Sunucular ve ağ araçları için kullanışlıdır.
Tüm ağ yerine yalnızca seçili yerel ağ adreslerinden, alt ağlardan veya güvenilir cihazlardan gelen trafiğe izin verir.
Güvenilir bir uygulamanın gelen bağlantıları alması gerektiğinde veya başka bir cihaz Windows bilgisayarınızda çalışan bir hizmete bağlanamadığında istisna eklemeniz gerekebilir.
Güvenlik duvarı kurallarını değiştirmeden önce tam olarak neye izin verilmesi gerektiğini belirleyin. Bu, çok geniş kapsamlı veya sonradan sorun gidermesi zor bir istisna oluşturmanızı önler.
| Soru | Neden Önemli? | Örnek |
|---|---|---|
| Hangi programın erişime ihtiyacı var? | Program tabanlı kural genellikle yalnızca bağlantı noktası kuralından daha güvenlidir. | C:\Program Files\MyApp\MyApp.exe |
| Gelen mi, giden mi? | Çoğu uygulama barındırma sorunu gelen kurallar gerektirir. Giden kurallar, giden trafik kısıtlandığında kullanılır. | Yerel sunucu için gelen kural |
| Hangi ağ profili? | Ev veya ofis LAN'ları için Özel genellikle daha güvenlidir. Genel profil sınırlı tutulmalıdır. | Yalnızca Özel |
| Hangi protokol ve bağlantı noktası? | TCP ve UDP ayrıdır. Bazı uygulamalar ikisini de gerektirir. | TCP 8080 veya UDP 27015 |
| Hangi cihazlar bağlanabilir? | Uzak adres kapsamı, kuralı güvenilir IP adresleriyle sınırlandırabilir. | 192.168.1.0/24 |
Özel, güvenilir ev veya ofis ağı için normalde doğru profildir. Genel; oteller, havaalanları, kafeler ve paylaşılan Wi-Fi gibi güvenilmeyen ağlar için kullanılır. Ağınızın hangi profili kullandığından emin değilseniz Ayarlar → Ağ ve İnternet bölümünü açın ve etkin bağlantının özelliklerini kontrol edin.
Normal bir masaüstü programı veya listelenen bir Microsoft Store uygulaması için güvenlik duvarı istisnası eklemek istediğinizde en kolay yöntem budur.
Win + R tuşlarına basın, control firewall.cpl yazın ve Enter'a basın..exe dosyasını seçin ve Ekle'ye tıklayın.Adlandırılmış bir kural, kesin program yolu, seçili ağ profilleri veya uzak IP kısıtlamaları gerektiğinde gelişmiş güvenlik duvarı konsolu daha uygundur.
Win + R tuşlarına basın, wf.msc yazın ve Enter'a basın.İyi güvenlik duvarı kuralı adları:
Allow Plex Media Server - Private LAN
Allow TCP 8080 - Local Web Test Server
Allow MyApp.exe Inbound - Accounting Network
Kuralı oluşturduktan sonra Programlar ve Hizmetler, Protokoller ve Bağlantı Noktaları, Kapsam ve Gelişmiş sekmelerini gözden geçirmek için kuralı çift tıklayın. Bu sekmeler istisnanın neye izin verdiğini ve nerede geçerli olduğunu denetler.
Bağlantı noktası istisnası; bir sunucu, oyun, cihaz aracı veya geliştirme ortamı için gereken tam TCP ya da UDP bağlantı noktasını bildiğinizde kullanışlıdır. Mümkün olduğunda program istisnası kullanın; uygulama belgeleri özellikle bir bağlantı noktası istiyorsa bağlantı noktası istisnası kullanın.
Win + R tuşlarına basın, wf.msc yazın ve Enter'a basın.8080 gibi bağlantı noktası numarasını girin. 5000-5010 gibi bir aralık da girebilirsiniz.| Örnek Kural | Protokol | Bağlantı Noktası | Önerilen Kapsam |
|---|---|---|---|
| Yerel web test sunucusu | TCP | 8080 |
Özel profil, yalnızca yerel alt ağ |
| Minecraft Java sunucusu | TCP | 25565 |
Özel profil veya güvenilir uzak adresler |
| Uzak Masaüstü | TCP/UDP | 3389 |
Yalnızca VPN veya güvenilir IP adresleri |
| Dosya paylaşımı / SMB | TCP | 445 |
Yalnızca özel LAN; internete açmayın |
PowerShell; yöneticiler, tekrarlanabilir kurulumlar, betikler ve uzaktan destek için kullanışlıdır. Aşağıdaki komutları çalıştırmadan önce Terminal (Yönetici) veya Windows PowerShell (Yönetici) açın.
PowerShellNew-NetFirewallRule `
-DisplayName "Allow MyApp Inbound - Private" `
-Direction Inbound `
-Program "C:\Program Files\MyApp\MyApp.exe" `
-Action Allow `
-Profile Private
PowerShellNew-NetFirewallRule `
-DisplayName "Allow TCP 8080 - Local Web Server" `
-Direction Inbound `
-Protocol TCP `
-LocalPort 8080 `
-Action Allow `
-Profile Private
PowerShellNew-NetFirewallRule `
-DisplayName "Allow UDP 27015 - Game Server" `
-Direction Inbound `
-Protocol UDP `
-LocalPort 27015 `
-Action Allow `
-Profile Private
PowerShellNew-NetFirewallRule `
-DisplayName "Allow TCP 8080 from LAN only" `
-Direction Inbound `
-Protocol TCP `
-LocalPort 8080 `
-RemoteAddress 192.168.1.0/24 `
-Action Allow `
-Profile Private
Program yolunu, görünen adı, bağlantı noktasını, protokolü, profili ve uzak adresi uygulamanızın veya ağınızın gerektirdiği değerlerle değiştirin.
Komut İstemi, netsh advfirewall ile güvenlik duvarı istisnaları oluşturabilir. Bu, eski betiklerde veya PowerShell'in tercih edilmediği sistemlerde kullanışlıdır.
Komut İsteminetsh advfirewall firewall add rule name="Allow MyApp Inbound - Private" dir=in action=allow program="C:\Program Files\MyApp\MyApp.exe" profile=private enable=yes
Komut İsteminetsh advfirewall firewall add rule name="Allow TCP 8080 - Local Web Server" dir=in action=allow protocol=TCP localport=8080 profile=private enable=yes
Komut İsteminetsh advfirewall firewall add rule name="Allow UDP 27015 - Game Server" dir=in action=allow protocol=UDP localport=27015 profile=private enable=yes
En güvenli güvenlik duvarı istisnası, uygulamanın çalışmasına hâlâ izin veren en dar istisnadır. wf.msc içinde bir kural oluşturduktan sonra bunu daha da kısıtlayabilirsiniz.
wf.msc açın.wf.msc içinde kural özelliklerini açın.192.168.1.50 veya 192.168.1.0/24 gibi güvenilir bir IP adresi veya alt ağ girin.Özel güvenlik duvarı istisnalarını düzenli olarak gözden geçirin. Eski test kuralları, yinelenen kurallar veya kaldırılmış uygulamalara ait kurallar gereksiz maruziyet oluşturabilir ve sorun gidermeyi zorlaştırabilir.
| Görev | Grafik Arayüz Yöntemi | PowerShell Komutu |
|---|---|---|
| Bir kuralı devre dışı bırakma | wf.msc açın, kuralı sağ tıklayın ve Kuralı Devre Dışı Bırak'ı seçin. |
Disable-NetFirewallRule -DisplayName "Rule Name" |
| Bir kuralı etkinleştirme | Kuralı sağ tıklayın ve Kuralı Etkinleştir'i seçin. | Enable-NetFirewallRule -DisplayName "Rule Name" |
| Bir kuralı kaldırma | Kuralı sağ tıklayın ve Sil'i seçin. | Remove-NetFirewallRule -DisplayName "Rule Name" |
| Eşleşen kuralları görüntüleme | Gelen Kuralları içinde arama/filtre seçeneklerini kullanın. | Get-NetFirewallRule -DisplayName "*MyApp*" |
Komut İsteminetsh advfirewall firewall delete rule name="Allow TCP 8080 - Local Web Server"
İstisna ekledikten sonra uygulama hâlâ engelleniyorsa kural yönünü, profili, program yolunu, protokolü, bağlantı noktasını ve uygulamanın gerçekten bağlantı dinleyip dinlemediğini kontrol edin.
| Sorun | Kontrol Edilecekler | Çözüm |
|---|---|---|
| Yanlış ağ profili | Kural Özel için izinlidir, ancak Windows ağı Genel olarak işaretler. | Ağ güvenilirse etkin ağı Özel olarak değiştirin veya kurala doğru profili ekleyin. |
| Yanlış kural yönü | Gelen ve giden kural farkı. | Başka cihazların bu bilgisayara bağlanması gerekiyorsa gelen kural oluşturun. |
| Program yolu değişti | Uygulama güncellendi veya başka bir klasöre taşındı. | Kuralı düzenleyin veya mevcut .exe yolu ile yeni bir kural oluşturun. |
| Hiçbir hizmet dinlemiyor | netstat -ano | findstr :PORT |
Bağlantı kabul etmesi gereken uygulamayı veya hizmeti başlatın. |
| Yanlış protokol | Uygulama UDP gerektirir, ancak yalnızca TCP'ye izin verilmiştir veya tam tersi. | Doğru TCP veya UDP kuralını oluşturun. Bazı uygulamalar ikisini de gerektirir. |
| Yönlendirici internetten erişimi engelliyor | Bağlantı noktası yönlendirme, WAN IP, CGNAT ve yönlendirici güvenlik duvarı kuralları. | Yönlendirici bağlantı noktası yönlendirmeyi yalnızca dış erişim gerekiyorsa ve güvenliyse yapılandırın. |
| Üçüncü taraf güvenlik duvarı etkin | Güvenlik paketleri başka bir güvenlik duvarı katmanı ekleyebilir veya Windows güvenlik duvarının yerini alabilir. | İstisnayı üçüncü taraf güvenlik duvarına ekleyin veya geçici olarak devre dışı bırakıp test edin. |
Komut İsteminetstat -ano | findstr LISTENING
netstat -ano | findstr :8080
PowerShellGet-NetTCPConnection -State Listen
Test-NetConnection 192.168.1.50 -Port 8080
wf.msc açın, kuralı Gelen Kuralları veya Giden Kuralları altında bulun, ardından devre dışı bırakın veya silin. PowerShell'de Disable-NetFirewallRule veya Remove-NetFirewallRule kullanın.Çoğu kullanıcı için en güvenli yöntem, belirli bir uygulamaya Windows Güvenlik Duvarı üzerinden izin vermek ve bunu yalnızca Özel profilde etkinleştirmektir. Daha fazla denetim için wf.msc ile adlandırılmış bir gelen kuralı oluşturun, tam programı veya bağlantı noktasını seçin ve kapsamı güvenilir IP adresleriyle sınırlandırın.
Yalnızca gerçekten ihtiyaç duyduğunuz güvenlik duvarı istisnalarını ekleyin, açıklayıcı kural adları kullanın, gerekmedikçe Genel profilinden kaçının ve testten sonra eski kuralları kaldırın. Güvenilir bir uygulama veya güvenilir IP aralığı için dar kapsamlı bir kural, her cihazın bağlanmasına izin veren geniş kapsamlı bir kuraldan çok daha güvenlidir.