Dimitr1s
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Правила максимально жёсткие для одиночной машины. Для начала, можно ограничить лишнюю активность сервиса в GPO: Отключить LLMNR (Link Local Multicast Name Resolution) - создаёт мультикаст (исходящие на 224.0.0.252) Выполнить --> gpedit.msc --> Конфигурация компьютера --> Административные шаблоны --> Сеть --> DNS-клиент В правой стороне находим строчку: Отключить многоадресное разрешение имен. Щелкаем дважды по ней, и в появившемся окне ставим параметр: Включено. Ещё можно запретить функцию NCSI (исходящие на www.msftncsi.com/ncsi.txt) Выполнить --> gpedit.msc --> Конфигурация компьютера --> Административные шаблоны --> Система --> Управление связью через Интернет --> Параметры связи через Интернет В правой стороне находим строчку: Отключить активные проверки индикатора работоспособности сетевых подключений. Щелкаем дважды по ней, и в появившемся окне ставим параметр: Включить. Правила по порядку: Правила лучше не копипастить, а создавать вручную, ибо оутпост вставляет скопированное не всегда корректно, а именно обрезает (пример, обрежет: PROXY:8080, ::1 и т.п.) Информация, если возникнут вопросы по портам и сервисам: IANA Microsoft 1. Разрешаем Отправку/Получение пакетов UDP, на DNS сервера провайдера. Allow Svchost DNS Resolving --------------------------------- Код: Where the Protocol is UDP and Remote Address is DNS сервера провайдера and Remote Port is DOMAIN and Direction is Outbound Allow It and Disable logging | После проверки логи можно отключить. 2. Запрещаем все остальные (левые) DNS запросы. Deny Svchost Trojan DNS ------------------------------ Код: Where the Protocol is UDP and Remote Port is DOMAIN and Direction is Outbound Block It and Report It | TCP активность резолва DNS, мне не встречалась, отдельные правила я не создаю. 3, 4. Запрещаем Получение/Отправку пакетов UDP, службы обнаружения SSDP. Deny Svchost Incoming SSDP (UDP) ------------------------------------------ Код: Where the Protocol is UDP and Local Port is 1900 Block It | Deny Svchost Outgoing SSDP (UDP) ----------------------------------------- Код: Where the Protocol is UDP and Remote Port is 1900 Block It | 5, 6. Запрещаем Входящие/Исходящие пакеты служб UPnP и SSDP по TCP. Deny Svchost Incoming UPnP, SSDP (TCP) -------------------------------------- Код: Where the Protocol is TCP and Local Port is 2869, 5000 and Direction is Inbound Block It | Deny Svchost Outgoing UPnP, SSDP (TCP) ------------------------------------------------ Код: Where the Protocol is TCP and Remote Port is 2869, 5000 and Direction is Outbound Block It | 7. Для работы системных приложений, сервису svchost необходимо "слушать" порты с localhost, причём и по IPv4, и по IPv6 (даже при отключённом, на уровне системы, IPv6). В оутпосте нет возможности разрешить только открытие порта для прослушивания, поэтому нужно создать правило. Allow Svchost Localhost In Connect ----------------------------------------- Код: Where the Protocol is TCP and Remote Address is 127.0.0.1, ::1 and Direction is Inbound Allow It | 8, 9. Запрещаем по TCP и по UDP - RPC/DCOM трафик. Кто пользует локалку и прочие "прелести" этих сервисов, те и так знают, что к чему. Кто не знает зачем это - можно смело резать. Deny Svchost RPC (TCP) ---------------------------- Код: Where the Protocol is TCP and Local Port is DCOM, 593 and Direction is Inbound Block It | Deny Svchost RPC (UDP) ----------------------------- Код: Where the Protocol is UDP and Local Port is DCOM, 593 Block It | 10. Правило разрешающее сервису Web-активность. Необходимо для Microsoft Update, НО если держать это правило включённым постоянно, можно получить совсем ненужную активность прочих приложений и служб (пример: Adobe, не контролируемою активность через BITS и т.п.) Я, лично, держу это правило отключённым и активирую только по необходимости (пример: момент обновления с Microsoft'а) Allow Svchost Web Access ------------------------------ Код: Where the Protocol is TCP and Remote Port is HTTP, HTTPS and Direction is Outbound Allow It | 11. DHCP. У кого есть. Allow Svchost DHCP Request --------------------------------- Код: Where the Protocol is UDP and Local Port is BOOTPC and Remote Port is BOOTPS and Direction is Outbound Allow It | 12. Служба времени - синхронизация. Если нужно можно включить. Allow Svchost Time Synchronisation ----------------------------------------- Код: Where the Protocol is UDP and Remote Address is сервера можно взять "Время по интернету" -> "Изменить параметры" )) and Remote Port is NTP Allow It | 13, 14, 15. Запрещающие правила, блокирующие всю прочую сетевую активность сервиса. Три, что бы в случае проблем, по логам легче было определить. Также, на случай проверки, возможность разрешить/логировать/получать предупреждения только определённую активность. Deny Svchost Other TCP Traffic Out ----------------------------------------- Код: Where the Protocol is TCP and Direction is Outbound Block It | Deny Svchost Other TCP Traffic In ---------------------------------------- Код: Where the Protocol is TCP and Direction is Inbound Block It and Report It | Deny Svchost Other UDP Traffic ------------------------------------ Код: Where the Protocol is UDP Block It and Report It | |