wvxwxvw
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Описание правил для svchost.exe из темы Jetico Personal Firewall.
Настоящие svchost.exe (их всего 4) расположены в:
C:\Windows\System32\svchost.exe
C:\Windows\SysWOW64\svchost.exe
C:\Windows\WinSxS\amd64_microsoft-windows-services-svchost_xxxxxxxxxxx_6.x.xxxx.xxxxx_none_xxxxxxxxxx\svchost.exe
C:\Windows\WinSxS\x86_microsoft-windows-services-svchost_xxxxxxxxxxx_6.x.xxxx.xxxxx_none_xxxxxxxxxx\svchost.exe
Правила создаются, только для одного "C:\Windows\System32\svchost.exe", на Windows любых разрядностей.
Решил применить советы бывалых, к WFC и вот делюсь результатами. В отличии от Jetico Personal Firewall, правила применяемые через графическую оболочку WFC нельзя назвать "максимально жесткими", так как не тот уровень блокировки. Можно даже сказать, что это минимально необходимые правила, особенно для тех кто не использует антивирус.
Это превью, можно открыть в другой вкладке.
1. Правила необходимы для работы DNS, не имеет значения от провайдера или собственного. Для DNScrypt будет ожидаемо 127.0.0.1. Еще можно прописать диапазон локальных портов 1024-65535, хотя мне представляется это излишним.
2. Диапазон портов рекомендованный shadow_member источник не искал, но при отключении этого правила периодически появляются уведомления, так что лишним не будет.
3. DHSP, кому не надо, можно наоборот закрыть. Как правило, надо. При работе через роутер нужно указать, помимо прочего, IP шлюз роутера.
4. Встречал рекомендации запрещать локальный трафик от себя к себе. Ну что сказать - толку от этого точно ноль, а вот проблем отхватить можно легко.
5. Объединенные запрещающие правила из темы Jetico Personal Firewall.
6. Для синхронизации времени, можно прописать IP используемых серверов, если они определены.
7. Порты используются как правило при обновлении и перед обновлениями придется включать. В остальное время лучше держать закрытыми.
Далее идут индивидуальные правила, просто как пример, в том числе того, что через этот процесс (svchost.exe) могут работать, помимо служб, всякие сторонние программы.
8. Два удаленных порта, если их не открыть, то раздачи в uTorrent клиенте будут красными.
9. Постоянно задействованные локальный и удаленный порты, кто и зачем по ним гонит траффик, не понятно. На работоспособности программ и ОС их закрытие ни как не сказалось.
10. Как минимум некоторые VPN получают DNS через svchost.exe. Соединение как правило на 53-й порт. Локальный адрес - IP адаптера VPN, удаленный адрес IP vpn провайдера. Проблем с настройкой этого правила быть не должно, если настраивать в последнюю очередь. При запуске VPN выдаст уведомление, в нем останется, только удалить локальный порт и все, правило готово.
11. Тут два адреса
a) Ipv6, было мной когда то настроено для другого провайдера. Для текущего провайдера ранее блокировал в Outpost и забыл отключить, вот теперь пригодилось для теста. Если ваш провайдер поддерживает Ipv6, вы его настроили и пользуетесь, то надо включить и скорее всего придется создать не одно правило. Формат адресов, обычный для IPv6.
b) Какой то левый адрес по которому упорно выдает уведомления. На работоспособности программ и ОС запрет этого соединения ни как не сказался.
Смысл всего написанного показать что в WFC можно, нужно и несложно настроить правила для svchost.exe, что бы обойтись без скрытия уведомлений. Скрытие уведомлений приведет лишь к тому, что когда вы столкнетесь с неработоспособностью какой либо сетевой программы вам все равно придется настраивать сеть для него, но только в самый неудобный момент, или разрешать ему сеть полностью, что ни есть хорошо (а то, не дай бог, бережно накопленный зоопарк разбежится  ).
Итого, у меня получилось всего 18 правил, уведомлений нет, все работает.
Конфигураций сетевых настроек много, как и вариаций для последней группы правил, потому значения замазаны, во избежание ненужного копирования. |
Всего записей: 5677 | Зарегистр. 02-04-2015 | Отправлено: 18:51 18-12-2017 | Исправлено: wvxwxvw, 13:20 19-12-2017 |
|
