Dimitr1s
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Правила максимально жёсткие для одиночной машины.
Для начала, можно ограничить лишнюю активность сервиса в GPO:
Отключить LLMNR (Link Local Multicast Name Resolution) - создаёт мультикаст (исходящие на 224.0.0.252) Выполнить --> gpedit.msc --> Конфигурация компьютера --> Административные шаблоны -->
Сеть --> DNS-клиент
В правой стороне находим строчку: Отключить многоадресное разрешение имен. Щелкаем
дважды по ней, и в появившемся окне ставим параметр: Включено.
Ещё можно запретить функцию NCSI (исходящие на www.msftncsi.com/ncsi.txt)
Выполнить --> gpedit.msc --> Конфигурация компьютера --> Административные шаблоны -->
Система --> Управление связью через Интернет --> Параметры связи через Интернет
В правой стороне находим строчку: Отключить активные проверки индикатора работоспособности
сетевых подключений. Щелкаем дважды по ней, и в появившемся окне ставим параметр: Включить.
Правила по порядку:
Правила лучше не копипастить, а создавать вручную, ибо оутпост вставляет скопированное не всегда корректно, а именно обрезает (пример, обрежет: PROXY:8080, ::1 и т.п.)
Информация, если возникнут вопросы по портам и сервисам:
IANA
Microsoft
1. Разрешаем Отправку/Получение пакетов UDP, на DNS сервера провайдера.
Allow Svchost DNS Resolving
---------------------------------
Код: Where the Protocol is UDP
and Remote Address is DNS сервера провайдера
and Remote Port is DOMAIN
and Direction is Outbound
Allow It
and Disable logging
|
После проверки логи можно отключить.
2. Запрещаем все остальные (левые) DNS запросы.
Deny Svchost Trojan DNS
------------------------------
Код: Where the Protocol is UDP
and Remote Port is DOMAIN
and Direction is Outbound
Block It
and Report It
|
TCP активность резолва DNS, мне не встречалась, отдельные правила я не создаю.
3, 4. Запрещаем Получение/Отправку пакетов UDP, службы обнаружения SSDP.
Deny Svchost Incoming SSDP (UDP)
------------------------------------------
Код: Where the Protocol is UDP
and Local Port is 1900
Block It
|
Deny Svchost Outgoing SSDP (UDP)
-----------------------------------------
Код: Where the Protocol is UDP
and Remote Port is 1900
Block It
|
5, 6. Запрещаем Входящие/Исходящие пакеты служб UPnP и SSDP по TCP.
Deny Svchost Incoming UPnP, SSDP (TCP)
--------------------------------------
Код: Where the Protocol is TCP
and Local Port is 2869, 5000
and Direction is Inbound
Block It
|
Deny Svchost Outgoing UPnP, SSDP (TCP)
------------------------------------------------
Код: Where the Protocol is TCP
and Remote Port is 2869, 5000
and Direction is Outbound
Block It
|
7. Для работы системных приложений, сервису svchost необходимо "слушать" порты с localhost, причём и по IPv4, и по IPv6 (даже при отключённом, на уровне системы, IPv6). В оутпосте нет возможности разрешить только открытие порта для прослушивания, поэтому нужно создать правило.
Allow Svchost Localhost In Connect
-----------------------------------------
Код: Where the Protocol is TCP
and Remote Address is 127.0.0.1, ::1
and Direction is Inbound
Allow It
|
8, 9. Запрещаем по TCP и по UDP - RPC/DCOM трафик. Кто пользует локалку и прочие "прелести" этих сервисов, те и так знают, что к чему. Кто не знает зачем это - можно смело резать.
Deny Svchost RPC (TCP)
----------------------------
Код: Where the Protocol is TCP
and Local Port is DCOM, 593
and Direction is Inbound
Block It
|
Deny Svchost RPC (UDP)
-----------------------------
Код: Where the Protocol is UDP
and Local Port is DCOM, 593
Block It
|
10. Правило разрешающее сервису Web-активность. Необходимо для Microsoft Update, НО если держать это правило включённым постоянно, можно получить совсем ненужную активность прочих приложений и служб (пример: Adobe, не контролируемою активность через BITS и т.п.)
Я, лично, держу это правило отключённым и активирую только по необходимости (пример: момент обновления с Microsoft'а)
Allow Svchost Web Access
------------------------------
Код: Where the Protocol is TCP
and Remote Port is HTTP, HTTPS
and Direction is Outbound
Allow It
|
11. DHCP. У кого есть.
Allow Svchost DHCP Request
---------------------------------
Код: Where the Protocol is UDP
and Local Port is BOOTPC
and Remote Port is BOOTPS
and Direction is Outbound
Allow It
|
12. Служба времени - синхронизация. Если нужно можно включить.
Allow Svchost Time Synchronisation
-----------------------------------------
Код: Where the Protocol is UDP
and Remote Address is сервера можно взять "Время по интернету" -> "Изменить параметры" ))
and Remote Port is NTP
Allow It
|
13, 14, 15. Запрещающие правила, блокирующие всю прочую сетевую активность сервиса.
Три, что бы в случае проблем, по логам легче было определить. Также, на случай проверки, возможность разрешить/логировать/получать предупреждения только определённую активность.
Deny Svchost Other TCP Traffic Out
-----------------------------------------
Код: Where the Protocol is TCP
and Direction is Outbound
Block It
|
Deny Svchost Other TCP Traffic In
----------------------------------------
Код: Where the Protocol is TCP
and Direction is Inbound
Block It
and Report It
|
Deny Svchost Other UDP Traffic
------------------------------------
Код: Where the Protocol is UDP
Block It
and Report It
|
|
