Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11112 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
PTITZA



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Надоело, снёс, переустанавливаю заново.  
Поленился бэкапы делать перед каждым шагом, думал всё проще будет

Всего записей: 1406 | Зарегистр. 03-01-2010 | Отправлено: 20:09 21-11-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PTITZA
Полностью настройку брандмауэра в студию и тогда народ быстро подскажет.
Не фразой, как в шапке, но подробно.
В шапке же оно по разному можно, например, отключать ли DNS?
Вот свои настройки под more, кому интересно выскажутся.
А бекап не поможет, поможет быстрая настройка выни, пользы больше для понимания

Всего записей: 11112 | Зарегистр. 12-10-2001 | Отправлено: 20:36 21-11-2018
PTITZA



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
KLASS
Как-то так
 
Подробнее...
 
Ничего стороннего ещё не установлено, даже не активирована.
Windows 10 Ent N LTSC 1809

Всего записей: 1406 | Зарегистр. 03-01-2010 | Отправлено: 20:55 21-11-2018 | Исправлено: PTITZA, 21:21 21-11-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PTITZA

Цитата:
Вроде, завелся. Только большая половина htpps сайтов не открывается теперь  

так что на другом прове, если твой браузер таки ходил докудато?

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 21:10 21-11-2018
PTITZA



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Us2002
Не откывались googl, yandex, еще какие-то https, ру-борд нормально, поиск bing
Us2002 - пост
Цитата:
на другом прове

Что за пров ? Не понимаю сленга

Всего записей: 1406 | Зарегистр. 03-01-2010 | Отправлено: 21:13 21-11-2018 | Исправлено: PTITZA, 21:15 21-11-2018
fakel33



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PTITZA
Для браузера (Firefox, Opera, Chrome ...) нужно создать правила
1. TCP исходящие, уд.порты =80,443,1080,182,8080,3128,8088 - разрешить
2. UDP исходящие, уд.порт=53 - разрешить

Всего записей: 1181 | Зарегистр. 22-08-2003 | Отправлено: 22:23 21-11-2018 | Исправлено: fakel33, 22:24 21-11-2018
PTITZA



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
fakel33
Так я все разрешил, не то? Надо конкретно эти?

Всего записей: 1406 | Зарегистр. 03-01-2010 | Отправлено: 22:29 21-11-2018
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fakel33
По умолчанию ВСЕ исходящие разрешены (для любой программы), если конечно не изменено какой-то политикой.
Обычно требуется настройка только для входящих

del , т.к отвечал на один пост, а их оказывается вторая страница, так что в контексте - не актуально
 
 
PTITZA
для разных протоколов - (http / https ...) разные порты,
хотя можно и на конкретную программу/сервис сначала разрешить, а потом уже к ней (для точности) порты подбирать.
п.с. переустанавливать систему (?) не обязательно (если только не подозреваешь заражение)
можно сбросить FireWall настройки на "по умолчанию" - все твои изменения исчезнут и восстановится что было (или что там в Win прописано)

Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 22:29 21-11-2018 | Исправлено: vikkiv, 22:51 21-11-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PTITZA
https://ru.wikipedia.org/wiki/HTTPS
HTTP/TLS запросы генерируются путём разыменования URI, в следствие чего имя хоста становится известно клиенту. В начале общения, сервер посылает клиенту свой сертификат, чтобы клиент идентифицировал его. Это позволяет предотвратить атаку человек посередине. В сертификате указывается URI сервера. Согласование имени хоста и данных, указанных в сертификате, происходит в соответствии с протоколом RFC2459[13].
 
Если имя сервера не совпадает с указанным в сертификате, то пользовательские программы, например браузеры, сообщают об этом пользователю. В основном, браузеры предоставляют пользователю выбор: продолжить незащищённое соединение или прервать его.[14]  
пров косячит, или потсонам в фуражках заняться нечем.. поинтересуйся официально у фтарых, чем ты им насолил.. мож они не при делах, и сразу займутся первыми, а мож таки оне в курсе, и твоё обращение послужит им волшебным пендюлем по совести и инет у тя волшебным образом выздоровеед =)
 зы, надеюсь у тебя вынь активирована

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 23:01 21-11-2018 | Исправлено: Us2002, 23:07 21-11-2018
PTITZA



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Us2002
На другой системе доступ ко всем ресурсам свободный.

Всего записей: 1406 | Зарегистр. 03-01-2010 | Отправлено: 23:07 21-11-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PTITZA
Process Hacker показывает для браузера закрытые соединения какие нить?

Всего записей: 11112 | Зарегистр. 12-10-2001 | Отправлено: 08:41 22-11-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PTITZA
http://forum.ru-board.com/topic.cgi?forum=5&topic=37044&start=780#13

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 09:06 22-11-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приложениям, отмеченным птичками слева, разрешен выход в сеть в соответствии с птичками справа, правильно?
А если на эти приложения существуют индивидуальные правила брандмауэра?

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 14:11 26-11-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member

Цитата:
Приложениям, отмеченным птичками слева

Это разрешенные входящие подключения.

Всего записей: 11112 | Зарегистр. 12-10-2001 | Отправлено: 15:45 26-11-2018 | Исправлено: KLASS, 15:49 26-11-2018
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Друзья расскажите пожалуйста какие правила необходимо создать дабы функционировала (для начала необходимо функционирование Store, закачка и установка аппов) UWP (Universal Windows Platform)?
 
Для начала, опять же, достаточно будет правила составленного по такой схеме: апп/сервис/программа, направление (наверняка почти всегда это будет исходящее) и протокол (позже с портами разберёмся и может даже немного с айпи).
 
Понятно, что для начала разрешаем (у кого запрещено) в GPO: в \Компоненты Windows\Центр обновления Windows, параметр "Не подключаться к расположениям Центра обновления Windows в Интернете" выставляем как "Не задана".
 
Далее разрешаем аппу "Microsoft.WindowsStore" исходящий TCP на порты 80, 443.
Затем тоже самое для "Microsoft.Windows.CloudExperienceHost".
 
А вот дальше у меня затыка случилась и не могу понять какому сервису разрешить выход в инеты! "Оптимизация доставки" же вроде сейчас качает аппы из стора? Если разрешить svchost.exe гулять на 80-порт, то всё скачивается... но не хочется так широко дверь открывать.
 
P.S. В догонку - кто уже поборол горюшко образовавшееся на 1809? То самое связанное в Защитником - он ведь теперь живёт по адресу C:\programdata\microsoft\windows defender\platform\, а там уже сейчас две папки 4.18.1810.5-0 и 4.18.1812.3-0 и в каждой Защитник и теперь разумеется надо отслеживать каждую его новую версию и прописывать правила вручную (эдакую мерзость MS учинила - типа Гугеловского хрома с сотоварищи)!

Всего записей: 29341 | Зарегистр. 15-09-2001 | Отправлено: 14:55 13-12-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
То самое связанное в Защитником - он ведь теперь живёт по адресу
Ответ есть на официальном форуме.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 08:04 14-12-2018
pangasiys



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите пож, если я на браузер поставлю исходящие правила на любой порт протокола TCP, а не  на 80,8080,443...., ну вообщем короче если не перечислять конкретные порты а на все порты протокола TCP - так можно? это не будет вредно для безопасности?

Всего записей: 6437 | Зарегистр. 05-06-2012 | Отправлено: 18:34 14-12-2018
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pangasiys
 
1) по умолчанию исходящие разрешены для всех программ/сервисов и т.д., т.е. даже если разрешающие правила активны - то они на самом деле неэффективны.
2) при условиях выше - запрещающее правило: запрет всего протокола(-ов) будет наилучшим вариантом, можно конечно и отдельно порты перечислить - но их слишком много (тогда можно диапазонами)
дальше если исходящие на верхнем уровне запрещены то:
3) зависит, если это правило на одну программу то есть варианты:
- разрешаюшее правило: не рекомендуется, желательно чётко указывать список портов на случай если программа с дырками (на других портах).
- запрещаюшее правило: будет не эффективным (т.к. на высшем уровне уже запрет всего)
4) если правило на все программы то:
- разрешаюшее правило: тоже что и выше (не рекомендуется), к тому-же некоторые программы могут быть дырявыми на тех портах на которых другие предусмотренны для работы.
- запрещаюшее правило: будет не эффективным (т.к. на высшем уровне уже запрет всего).

Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 15:25 15-12-2018 | Исправлено: vikkiv, 15:25 15-12-2018
pangasiys



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv
я про браузер....
 
Добавлено:
....по умолчанию у меня не разрешены исходящие для всех прог (всмысле что такого правила у меня вообще нет)
 
Добавлено:
...вообщем ответ такой - я чую:
Цитата:
3) зависит, если это правило на одну программу то есть варианты:  
- разрешаюшее правило: не рекомендуется, желательно чётко указывать список портов на случай если программа с дырками (на других портах).  


Всего записей: 6437 | Зарегистр. 05-06-2012 | Отправлено: 15:42 15-12-2018 | Исправлено: pangasiys, 16:34 15-12-2018
Valery_Sh



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pangasiys

Цитата:
по умолчанию у меня не разрешены исходящие для всех прог (всмысле что такого правила у меня вообще нет)

Это определяется "политикой" брандмауэра, а не конкретным правилом.
 
Политику можно настроить для каждого сетевого профиля отдельно.
По крайней мере в корпоративке можно точно.
 
http://ipic.su/7yCKjm.png

Всего записей: 2171 | Зарегистр. 30-06-2008 | Отправлено: 17:38 15-12-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru