lapi
Junior Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Правила для сервиса svchost.exe. Находится: Диск_на_котором_Windows\WINDOWS\system32\svchost.exe. Правила "максимально жёсткие", для одиночной машины. № | Действие | Протокол | Событие | Приложение | Локальный адрес | Удалённый адрес | Локальный порт | Удалённый порт | 1 | разрешить | TCP/IP | Получение/Отправка пакетов (UDP) | Путь...\svchost.exe | . | Адрес DNS сервера (провайдера) | . | 53 | 2 | запретить | TCP/IP | Получение/Отправка пакетов (UDP) | Путь...\svchost.exe | . | . | . | 53 | 3 | запретить | TCP/IP | Получение пакетов (UDP) | Путь...\svchost.exe | . | . | 1025-1045 | . | 4 | запретить | TCP/IP | Получение пакетов (UDP) | Путь...\svchost.exe | . | . | 1900 | . | 5 | запретить | TCP/IP | Отправка пакетов (UDP) | Путь...\svchost.exe | . | . | . | 1900 | 6 | запретить | TCP/IP | Входящее соединение | Путь...\svchost.exe | . | . | 5000, 2869 | . | 7 | запретить | TCP/IP | Исходящее соединение | Путь...\svchost.exe | . | . | . | 5000, 2869 | 8 | запретить | TCP/IP | Входящее соединение | Путь...\svchost.exe | . | . | 135, 593 | . | 9 | запретить | TCP/IP | Получение пакетов (UDP) | Путь...\svchost.exe | . | . | 135 | . | 10 | разрешить | TCP/IP | Отправка пакетов (UDP) | Путь...\svchost.exe | . | 255.255.255.255 | 68 | 67 | 11 | разрешить | TCP/IP | Получение/Отправка пакетов (UDP) | Путь...\svchost.exe | 127.0.0.1 | 127.0.0.1 | . | . | 12 | разрешить | TCP/IP | Исходящее соединение | Путь...\svchost.exe | . | . | . | 80, 443 | 13 | разрешить | TCP/IP | Получение/Отправка пакетов (UDP) | Путь...\svchost.exe | . | 207.46.232.182, 192.43.244.18 | . | 123 | 14 | запретить | TCP/IP | Исходящее соединение | Путь...\svchost.exe | . | . | . | . | 15 | запретить | TCP/IP | Входящее соединение | Путь...\svchost.exe | . | . | . | . | 16 | запретить | TCP/IP | Получение/Отправка пакетов (UDP) | Путь...\svchost.exe | . | . | . | . | 17 | спросить | . | . | Путь...\svchost.exe | . | . | . | . | 18 | продолжить | . | . | . | . | . | . | . | 1. Разрешаем Получение/Отправку пакетов UDP, на DNS сервер провайдера. 2. Запрещаем все остальные (левые) DNS запросы/ответы. 3. Запрещаем получение UDP пакетов на "слушающие", системные порты: 1025-1045. (Если стоит патч от Microsoft, исправляющий проблему, правило не обязательно.) 4, 5. Запрещаем Получение/Отправку пакетов UDP, службы обнаружения SSDP. 6, 7. Запрещаем Входящие/Исходящие пакеты UPnP (Кто не знает для чего нужно и что такое SSDP и UPnP, смело режем). 8, 9. Запрещаем по UDP и по TCP - RPC/DCOM трафик. Кто пользует локалку и прочие "прелести" этих сервисов, те и так знают, что к чему. Кто не знает зачем это - резать! В дополнение - можно (даже нужно) "зарезать" и NetBIOS: в Таблице IP нужно создать два правила, выше Stateful Inspection (Анализа соединений): Действие | Протокол | Порт получателя | запретить | UDP | 137-139, 445 | запретить | TCP | 137-139, 445 | Там же (в Таблице IP), можно продублировать и правила 8, 9. 10. У кого есть DHCP (смотрим по ipconfig /all), включаем правило, у кого нет (или служба DHCP остановлена) - запрещаем. 11, 12. Оба правила - для Microsoft Update, ( Я к примеру, поступаю так: держу службу Автоматическое обновление и оба эти правила выключенными, а включаю только каждый второй вторник месяца, обновляюсь с Microsoft'а и снова выключаю). 13. Служба времени: надо - включаем, не надо - выключаем. 14, 15, 16. Режем всё остальное. Почему три правила? При включённых логах, проще отследить если что то не так. При желании можно ужесточить правила, добавив диапазон, локальных портов и адресов, лучше проанализировав логи (для XP и Висты, могут быть различия). | Всего записей: 163 | Зарегистр. 28-09-2001 | Отправлено: 02:49 06-03-2004 | Исправлено: Dimitr1s, 17:52 23-03-2009 |
|