Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Из описания темы видно, что речь пойдет о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии,
    вся "борьба" с которой сводится к отключению\перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик), но оставив это правило DNS помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Потому для верности, создавайте правила DNS для каждой программы из белого списка, а правило Основы сетей - DNS (UDP - исходящий трафик) предпочтительно тоже отключить.
    Отключив правило, обязательно отключите службу DNS-клиент
    Все, Интернета - нет, как и нет любых других соединений (кроме DHCP), включая телеметрию. Чтобы убедиться в этом используйте Wireshark.
    После такой настройки, обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра.
    Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 и рекомендации по обновлению Windows 7 SP1
    История кумулятивных обновлений для разных версий Windows 10
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. По другому, будем создавать белый список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того, чтобы быстро разобраться какой программе, что нужно открыть в брандмауэре, можно использовать приложение Process Hacker с надстройками.
    Текущая английская сборка от Victor_VG или локализованная сборка от KLASS для Windows 10 версии не ниже 1607 Build 14393.
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" (на Windows 7 не работает, используйте набор NetworkTrafficView_russian) и
    запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим к каким портам,
    удаленным адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
     
  • Как добавлять правила в брандмауэр используя командную строку(команда netsh).
     
  • Не лишним будет добавление в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, т.к. правила от M$ могут быть восстановлены при очередном обновлении
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в системном трее на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws,
    без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 6955 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 19:34 06-05-2018
icijafi

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет. Скажите, пожалуйста, как отключить DNS клиент в Windows 10 Pro (1709)? Когда захожу в службы и нажимаю "Остановить", то появляется окно с сообщением "Не удается остановить службу отказано в доступе". Если вводить команду "net stop Dnscache" в cmd с правами администратора, то выходит та же самая ошибка, что отказано в доступе. В чём может быть причина? Система свежая - проверял сразу после установки.

Всего записей: 14 | Зарегистр. 20-12-2017 | Отправлено: 15:07 05-02-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
icijafi
Process Hacker от админа останавливает и запускает на v1607, попробуй и на v1709
 

Всего записей: 15063 | Зарегистр. 18-07-2006 | Отправлено: 17:47 05-02-2018 | Исправлено: shadow_member, 17:48 05-02-2018
icijafi

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member, спасибо за ответ. А без сторонних утилит это можно реализовать?

Всего записей: 14 | Зарегистр. 20-12-2017 | Отправлено: 22:51 05-02-2018 | Исправлено: icijafi, 22:57 05-02-2018
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
icijafi

reg add HKLM\SYSTEM\CurrentControlSet\Services\Dnscache /v Start /t REG_DWORD /d 4 /f

Всего записей: 113 | Зарегистр. 25-02-2012 | Отправлено: 16:11 06-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
возможно кто то уже упоминал, но на всякий предложу вариант альтернативу заливке правил каждый раз при входе в систему, использовал давно на w7 (на 10ке не проверял), всегда раздражало что каждая программа при каждом чихе пытается добавить себя в исключения.
 
1) настраиваете правила.
2) на ветки реестра в с правилами (легко ищется по названию любого правила) заменяете владельца на своего пользователя, можно и любого другого, главное системного пользователя не оставляйте.
3) под этим пользователем убираете права на запись на ветку реестра с правилами абсолютно всем пользователям, в т.ч. и себе, оставляете только чтение.
 
После данных манипуляций больше никаким способом никакой программе новые правила добавить не удастся, если нужно что то изменить, открываете реестр, ставите права на запись, изменяете, проверяете, убираете права на запись. Можно попробовать автоматизировать скриптом.
 
UPD
Powershell скрипты для автоматизации, чтобы не ползать каждый раз в реестр, можно посмотреть тут.
Придется выдать полные права на ветку FirewallRules пользователю от имени которого будут запускаться скрипты, права админа не обязательны.
 
UPD2
Нашились некоторые проблемы, подробности тут
 

Всего записей: 74 | Зарегистр. 24-11-2006 | Отправлено: 00:07 10-02-2018 | Исправлено: m9ls, 15:04 19-02-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls
Цитата:
вариант альтернативу заливке правил каждый раз при входе в систему, использовал давно на w7 (на 10ке не проверял)
Работает и на 10, мембер KLASS это применяет. Как по мне, слишком радикальный способ.
А твою альтернативу возьмем на заметку.
Binisoft WFC, опция "Защищать правила"- защищает от несанкционированного добавления правил.

Всего записей: 15063 | Зарегистр. 18-07-2006 | Отправлено: 09:51 10-02-2018
Still777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls, спасибо за полезный совет, давненько искал способ как заблокировать от изменений свои правила.
Ветка в реестре с правилами брандмауэра в вин 7:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
Легче всего переходить по веткам реестра через RegOwnershipEx.
 
Осталось главное - грамотно настроить разрешения и запреты в ветке FirewallRules, пока пробую на виртуалке.

Всего записей: 70 | Зарегистр. 14-12-2014 | Отправлено: 18:46 10-02-2018
icijafi

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz, спасибо, помогло. А Вы не знаете, почему данная служба не может быть остановлена стандартными средствами? В Windows 10 Pro v1607 всё было нормально.

Всего записей: 14 | Зарегистр. 20-12-2017 | Отправлено: 22:47 10-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Still777
на самом деле нужен только 1 пользователь "MpsSvс", у него нет полных прав, но в специальных стоит запись и удаление. Только от этого пользователя зависит можно редактировать правила или нет. Стоят на запись - можем (даже если у system чтение), если не стоят - доступ запрещен. Остальное я так для перестраховки, но, опять же, не уверен по поводу w10, так что надо тестить

Всего записей: 74 | Зарегистр. 24-11-2006 | Отправлено: 00:56 11-02-2018 | Исправлено: m9ls, 00:58 11-02-2018
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А Вы не знаете, почему данная служба не может быть остановлена стандартными средствами?

 
Этого не знаю, и эта служба не единственная "неотключаемая", без которой можно жить. Вы, возможно, дойдете до изменения задач планировщика заданий и увидите что там тоже из интефейса многое не изменить. GUI - не лучший способ настраивать виндовс, там вечно натыкаешся на раздражающую заботу корпорации о тебе.

Всего записей: 113 | Зарегистр. 25-02-2012 | Отправлено: 10:21 11-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрался я все же до настройки фаервола на 10ке, и столкнулся с проблемой которая тут уже обсуждалась - разрешить исходящий трафик для Windows Update, правила которые работали в 7ке, отказываются работать в 10ке. То решение которое нашел в этой теме (разрешить svchost.exe 443 и 80, при этом не указывая службу) меня не устроило, не хочется выпускать весь svchost.exe, качать обновления и ставить вручную (или пользоваться сторонними приложениями), честно говоря, немного лениво.  
 
После гугления и небольших мучений получилось следующее решение, чем и делюсь, может пригодиться:
 
1) Назначаем себя владельцем на svchost.exe и ставим себе полные права на файл.
2) Создаем хардлинк mklink /H svchost-fw.exe svchost.exe (из сmd от имени владельца)
3) Удаляем полные права которые поставили в п.1, владельца возвращаем обратно (NT Service\TrustedInstaller)
4) Идем в Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv и меняем  svchost.exe на svchost-fw.exe в ImagePath (тем самым изолируя Windows Update от остальных служб), там же Type меняем на 10 (или 0x16)
5) перезагружаемся
6) создаем правило в котором выпускаем svchost-fw.exe на 443 и 80 (теперь будет находить обновления, но не будет качать)
7) создаем правило в котором выпускаем svchost.exe и службу DoSvc (Delivery Optimization) на 443 и 80 (теперь будет качать)
 
Вроде ничего не забыл.. ах да, время от времени экзешник у wuauserv обратно меняется на svchost.exe, вроде как Windows Defender меняет при сканировании, в любом случае, запустить батник или файл импорта реестра, который перед обновлением вернет svchost-fw.exe, не проблема.
 
UPD:
Для некоторых "других продуктов microsoft", офис VL к примеру, DoSvc  так же надо выпускать через svchost-fw.exe, иначе не будет скачивать.

Всего записей: 74 | Зарегистр. 24-11-2006 | Отправлено: 15:36 11-02-2018 | Исправлено: m9ls, 13:56 23-02-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls
Не проще правило
Цитата:
(разрешить svchost.exe 443 и 80, при этом не указывая службу)
держать постоянно выключенным, включая только на период проверки обновлений?

Всего записей: 15063 | Зарегистр. 18-07-2006 | Отправлено: 18:51 11-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
держать постоянно выключенным, включая только на период проверки обновлений?  

Ну я и мои правила для обновления держу выключенным, включаю только когда решаю обновить систему.
 
а по поводу разрешить все для svchost.exe на 443, как и писал в предыдущем посте - меня не устроило, я сниферил на роутере, как только разрешаю svchost.exe 443 - трафик сразу огромный, видимо сливает все что накопилось, при этом windows update отключен. Конечно, я не все еще поотключал, но все же. Следуя вашему совету еще проще можно сделать - вообще правил не писать, просто отключать фаервол на время обновления.  
 

Всего записей: 74 | Зарегистр. 24-11-2006 | Отправлено: 19:56 11-02-2018 | Исправлено: m9ls, 20:42 11-02-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls
Ручками обновляться?

Всего записей: 6955 | Зарегистр. 12-10-2001 | Отправлено: 22:24 11-02-2018
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls
 
Это гениально. Реально круто. Глюков замечено не было? Журнал ошибок как отреагировал на подмену?

Всего записей: 113 | Зарегистр. 25-02-2012 | Отправлено: 11:05 12-02-2018
Still777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls

Цитата:
на самом деле нужен только 1 пользователь "MpsSvс"

Именно так и есть, подтверждаю, что в первую очередь надо настроить MpsSvс и лишить его особых разрешений, пробовал на вин 7, 8.1 и 10(ltsb 1607).
В виде бонуса после этих настроек - перестала работать функция "Восстановить значения по умолчанию", что только плюс для меня.
 
Но все равно, нельзя до конца  быть уверенным в брандмауэре, пока его с легкостью можно отключить, например через cmd соответствующей командой.
Сейчас ищу способ, чтобы полностью запретить отключение самого брандмауэра.

Всего записей: 70 | Зарегистр. 14-12-2014 | Отправлено: 14:41 12-02-2018 | Исправлено: Still777, 19:24 12-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Вы про что? Если про windows update, то это не я придумал, на англоязычных ресурсах упоминается это метод несколько раз, к пример тут
https://blogs.technet.microsoft.com/askperf/2008/01/11/getting-started-with-svchost-exe-troubleshooting/
там где "Method 2: Creating an isolated Service Group", правда там предлагают вообще копировать svchost.exe и переименовывать его, но смысл тот же.
 
За пару дней наблюдения не столкнулся ни с какими проблемами (я много чего еще настраиваю, отключаю, включаю,  блокирую, так что по логам сложно судить).

Всего записей: 74 | Зарегистр. 24-11-2006 | Отправлено: 17:14 12-02-2018 | Исправлено: m9ls, 17:22 12-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
добавил в сообщение о блокировке правил скрипты для быстрого запрета/разрешения на редактирование.

Всего записей: 74 | Зарегистр. 24-11-2006 | Отправлено: 17:38 13-02-2018 | Исправлено: m9ls, 17:38 13-02-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls
После очередного обновления от Мелких права на ветку не восстанавливаются
и "новые" (старые) правила от них не появляются?

Всего записей: 6955 | Зарегистр. 12-10-2001 | Отправлено: 08:58 16-02-2018 | Исправлено: KLASS, 09:04 16-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Still777
Цитата:
Сейчас ищу способ, чтобы полностью запретить отключение самого брандмауэра.
Запретить включение отключение брандмауэра можно через локальные или глобальные политики, а вот запрещать останавливать/запускать службы администраторам, в данном случае службу брандмауэра, можно только устанавливая права через sdshow, sdset (к примеру "sc sdshow MpsSvc" покажет установленные права на службу брандмауэра). Придется немного погуглить, но ничего сложного. Я никогда не пробовал отбирать права на запуск/остановку у системых пользователей("sc" скорее всего работает от system), но можете попробовать (скорее всего служба не стартанет при запуске ос).
 
 
KLASS
нет не восстанавливаются, никаких правил не добавляется.
Но нашлась небольшая проблема, при первом входе нового пользователя в w10 (при создании профиля) нужно восстанавливать права на запись на эту ветку иначе часть приложений откажется работать (к примеру пуск не будет открываться). После первого входа можно снова отбирать права на запись (и не забыть импортировать обратно свои правила, потому что добавятся стандартные).
 
В общем мне это не очень понравилось (наверняка вылезут еще косяки), поэтому тестирую вот этот способ:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc732770(v=ws.10)
когда Apply local firewall rules ставится NO в GPO. Вроде работает, любые локальные правила полностью игнорируются (но при этом добавляются и включены), работают только GPO правила. У меня пока не хватает времени сесть и по хорошему все проверить, чтобы убедиться что действительно нет лишнего трафика, может кто то уже тестировал?  
Жаль конечно что этот способ только для старших редакций, я в основном для дома/знакомых ищу варианты, а там поголовно home версии.

Всего записей: 74 | Зарегистр. 24-11-2006 | Отправлено: 11:52 19-02-2018 | Исправлено: m9ls, 14:57 19-02-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru