Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lyolik r

Цитата:
Мне на ноутбуке сподручней как раз разрешить использовании днс для каждой программы...
На ноутбуке да, так удобнее наверное будет - спасибо, что дополнили!
 
P.S. IMHO проблема с зловредным днс-туннелем в целом очень надумана! Какие "вы" такие программы устанавливаете, что опасаетесь слива ими ваших данных через днс-туннели? Или "вы" опасаетесь, что винда что-то через них сольёт? Если про винду, так она что хочешь может слить через любое из своих https соединений и никакие днс-туннели ей не нужны. Ну и если "вам" уж так необходимо юзать недоверенные проги, то устанавливайте их в виртуалки, где будет минимум чуствительных данных.

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 16:11 09-01-2019
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
использовать в качестве днс-сервера сервер роутера домашнего

ну эт само собой, как с использованием системного днскеша, так и если необходимо - самим софтом при отключении этой службы
.. но... а ежли впн поднимается, то тут уже и правила во многих случаях тож необходимо менять  
 
Добавлено:

Цитата:
никакой зловред не создаст днс-туннель

кроме зловреда в самом рутере =)
 
Добавлено:
lyolik r

Цитата:
к примеру в командировке,на работе

ну вот в этом случае имхо хотспот по дхцп, поднятие туннеля до корпоративного серва, и весь траф через него

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 17:15 09-01-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Us2002

Цитата:
.. но... а ежли впн поднимается, то тут уже и правила во многих случаях тож необходимо менять
Ну если вы стандартным виндовым софтом пользуетесь и у вас всё вэпээнится всё, то что тут говорить.
А если же пользуетесь чем-то типа shadowsocks, то опять же настроили и забыли.

Цитата:
кроме зловреда в самом рутере =)
От этого спасёт впн (как самое простое), но там конечно будет зловред у хостера. гыгы

Цитата:
ну вот в этом случае имхо хотспот по дхцп, поднятие туннеля до корпоративного серва, и весь траф через него
Или к своему впн подключаться.

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 20:07 09-01-2019
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
но там конечно будет зловред у хостера

палюбасу =)

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 02:30 10-01-2019
Oleg_II



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что-то вчера не взлетело у меня по мануалу в шапке... Просто запретил каждое соединение из правил кроме:
Код:
netsh advfirewall firewall add rule name="Core Networking - Dynamic Host Configuration Protocol for IPv6(DHCPV6-In)" dir=In action=Allow profile=Any program="%SystemRoot%\system32\svchost.exe" protocol=UDP remoteport=547 remoteip=Any  
 
netsh advfirewall firewall add rule name="Core Networking - IPHTTPS (TCP-In)" dir=In action=Allow profile=Any program="System" protocol=TCP remoteport=Any remoteip=Any  
 
netsh advfirewall firewall add rule name="Core Networking - Dynamic Host Configuration Protocol (DHCP-Out)" dir=Out action=Allow profile=Any program="%SystemRoot%\system32\svchost.exe" protocol=UDP remoteport=67 remoteip=Any
и в исходящих оставил работающем только Основы сетей - DNS (UDP - исходящий трафик).
 
Пожаловался только uTorrent, Firefox как ходил в сеть, так и продолжил ходить в интернет вообще не имея НИКАКИХ прописанных для него правил в файрволе.
 
Заблокировал Входящие-исходящие, разрешил Firefox ВСЕ соединения - он выйти не может.
 
Что-то я сделал лишнего?
 
А можно ли просто начать с чистого листа? Как, например:
1. Удалить ВСЕ правила вообще.
2. Заблокировать ВСЕ входящие/исходящие соединения.
3. Внести БАЗОВЫЕ рекомендованные разрешённые соединения (как в примере комманд выше).
---
4. Начать настраивать пользовательские правила для отдельных программ.
 
Вот только есть вопрос по этим "базовым рекомендованным разрешённым соединениям" - трёх выше достаточно или надо что-то ещё разрешить?
 
ЗЫ Делал всё на десктопе, но пока запрещал вход/выход по туче уже прописанных правил, появилось подозрение, что для ноутбуков нужно будет создавать отдельный пучок правил для беспроводного соединения.
 
ЗыЗы Написал, отошёл от компьютера и подумал: очерёдность действий у меня извращённая - вначале чему-то разрешил выходить, а потом - раааз! - всё запретил Надо будет попробовать наоборот. Но вопрос про "рекомендованные оставить или добавить общие правила" оставлю

Всего записей: 2879 | Зарегистр. 30-09-2002 | Отправлено: 08:57 10-01-2019 | Исправлено: Oleg_II, 10:14 10-01-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_II
Первое правило не нужно. У меня и в сетевых настройках протокол TCP/IPv6 отключен.
Второго правила у меня нет, возможно, оно нужно, чтобы тебя видели в локальной сети.
К входящим соединениям нужно относиться с осторожностью.
В третьем правиле - лок. порт 68, уд. порт 67.
Если нужен пинг, разрешить исх. ICMPv4 для System.
В общем, ты запутался. Начни с нуля.
Удали все правила, запрети все входящие, создай временное правило DNS для svchost (как наступит ясность, удалишь это правило и создашь правила DNS индивидуально для каждой программы). Создай разрешающие правила для браузеров. Проверь, все работает, ОК.  
Удали временное правило DNS, останови dnscache, создай правила DNS для браузеров. Проверь, все ОК. Перезагрузись, проверь, что dnscache не запущена.
Рецептов и мнений может быть много, это одно из них, не претендующее на исключительность.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 11:05 10-01-2019
Oleg_II



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Спасибо за дельные советы!
 
Т.е.:
1. Удаляю ВСЕ правила и запрещаю ВСЕ входящие. (Исходящие не запрещать?)
2. Временно разрешаю входящее (?) DNS для svchost. (или таки исходящие?)
---
3. Начинаю настраивать программы для выхода в интернет вообще.
---
4. Удаляю временное правило DNS для svchost (таки входящее или исходящее?) и отключаю службу DNS.
5. Добавляю правила DNS для разрешённых программ.
 
Можно, пожалуйста, пример последнего действия для условной программы C:\Проги\Моя прога.ехе?

Всего записей: 2879 | Зарегистр. 30-09-2002 | Отправлено: 11:19 10-01-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1. Запрещаешь входящие. В брандмауэре Windows по исх. что не разрешено явно, то запрещено. Как по входящим, не помню.
2. DNS - тлько исх.
3. Создаешь разр. исх. правило минимальной строгости для браузера. Когда созреешь, создашь более строгое.
4, 5. Да, да.
Разр. исх. UDP для Firefox лок. IP любой, уд. IP любой, лок. порт любой, уд. порт 53.  
Если в п.3 правило "разр. все исх. для Firefox", то правило DNS для FF будет, видимо,  излишним.
 
Интерфейс брандм. Windows недружелюбен и задрочен в управлении, однозначно ставь Binisoft WFC, сразу просветлеешь.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 11:40 10-01-2019
Oleg_II



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Интерфейс брандм. Windows недружелюбен и задрочен в управлении, однозначно ставь Binisoft WFC, сразу просветлеешь.
Собственно, так я и решил сделать изначально. Но только что (на Новый год) перешёл с ХР на 10-ку, система для меня совсем новая, как новый мир открыл или только что родился
Глаза разбегаются, надо столько сделать! Совместимость, драйвера, настройки под себя. Вот и мечусь в разные стороны - там настроить, здесь подкрутить. А вокруг столько много интересного и отвлекающего
 
Был опыт когда-то ещё с AtGuard на Винде 98, потом какое-то время на Proto Firewall, но в ХР СП3 с ним возникли проблемы, да и в жизни стало не до него. Помню, что надо было разрешить системе несколько процессов на вход/выход, иначе интернета не было. Вот и сейчас нужны базовые данные - что точно надо оставить/разрешить, а потом уже буду пилить напильником.
 
 
ЗЫ В шапке понравилась вот эта часть, но там более продвинутые вещи. Вот такого плана мануалы с картинками примерами мне нравятся

Всего записей: 2879 | Зарегистр. 30-09-2002 | Отправлено: 11:56 10-01-2019 | Исправлено: Oleg_II, 11:59 10-01-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Читай темы по WFC, Comodo, Outpost, там кладезь знаний. Работа через GUI значительно нагляднее и понятнее, чем через ком. строку.
Кстати, для расшаривания правил брандмауэра в виде ком. строки есть удобная утилита от Ratiborus, названия прям сейчас не вспомню.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 12:15 10-01-2019 | Исправлено: shadow_member, 13:03 10-01-2019
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member

Цитата:
есть удобная утилита от Ratiborus

его парсер не всё вытягивает

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 17:03 10-01-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_II

Цитата:
4. Удаляю временное правило DNS для svchost (таки входящее или исходящее?) и отключаю службу DNS.
5. Добавляю правила DNS для разрешённых программ.
Это ненужно и лишь добавляет иллюзию секурности!
 
Да и вообще - призываю в топик KLASS дабы обсудить данный вопрос и окончательно его закрыть!
 
shadow_member

Цитата:
Как по входящим, не помню.
Тоже самое (оно по умолчанию установлено).

Цитата:
...однозначно ставь Binisoft WFC, сразу просветлеешь.
Да, WCF хорошее решение, но надо помнить, что из него невозможно сделать многое доступное в WF (впрочем при нужном умении можно и то и то использовать).
 
Oleg_II

Цитата:
Вот и мечусь в разные стороны - там настроить, здесь подкрутить.
Советую на первых порах меньше всего подкручивать дабы потом не ругаться на кривую винду (в 10 постепенно весь гуй мигрирует на WUP, а он легко ломается подкручиванием - правда также и легко восстановить, если знаешь как).
 
shadow_member

Цитата:
Работа через GUI значительно нагляднее и понятнее, чем через ком. строку.
Да, через гуй удобнее, но только если постоянно что-то крутишь и вертишь.

Цитата:
Кстати, для расшаривания правил брандмауэра в виде ком. строки есть удобная утилита от Ratiborus, названия прям сейчас не вспомню.
FireWallRulesParser.exe

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 17:04 10-01-2019
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_II

Цитата:
1. Удаляю ВСЕ правила  

имхо блочь все правила, предварительно бэкапнув текущие настройки

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 17:11 10-01-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребят, да соббсно все течет и все меняется.
Мемберы, чего вы в сторону модеров смотрите, если есть, что поправить.
Я лично всеми конечностями, обсуждаем и правим. Еще раз раз, шапку правят мемберы, а обсуждение вынесено.
Последнее время присел на тему одного правила исходящих по IP для нескольких программ.
Нафига создавать кучу правил, когда можно, скажем, для почты, эксклюзива (один IP) и прочего сунуть все в одно правило?

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 17:13 10-01-2019
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
... или подсети локальной, с переменной =) а не тупо в лоб по ипу руками вбивать =)

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 17:17 10-01-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Us2002
Так рассказывай здесь, но не умничай

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 17:22 10-01-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Я тебя призывал обсудить отключение днс-клиенто или блокировку оного фаером т.к. помню, что это ты был тут главным приверженцем этих действий, а я всегда говорил, что если что-то у вас создаёт зловредные днс-туннели, то наверняка фаером одним тут не спасёшься.
 
Давай уже точку над I поставим в этом вопросе, озвучив все аргументы за и против.

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 17:24 10-01-2019
Oleg_II



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вобщем, докладываю
 
По умолчанию блокировка только входящих, исходящие нужно дополнительно блокировать.
 
Удалил все правила для Исходящих и Входящих соединений кроме:
 
Inbound Rules:
- Core Networking - Dynamic Host Configuration Protocol (DHCP-Out)
- Core Networking - Dynamic Host Configuration Protocol for IPv6(DHCPV6-Out)
 
Outbound Rules:
- Core Networking - DNS (UDP-Out)
- Core Networking - Dynamic Host Configuration Protocol (DHCP-Out)
- Core Networking - Dynamic Host Configuration Protocol for IPv6(DHCPV6-Out)
 
Добавил пока общее правило для Firefox и правила для uTorrent, которые он сам прописывал при старте.
 
Интернет работает, я пока доволен - скелет есть, дальше буду точить напильником вайфай и отдельные программы, когда поставлю 10-ку на ноутбук и будет время на "тонкую настройку".
 
Наваял для себя INF файл с первоначальными настройками, правила появляются, но блокировки входящих соединений без перезагрузки не получается пока, без перегрузки только импорт из штатного файла настроек. Ничего, мне всё равно после всех твиков надо будет перегружаться
Дополнено: впрочем, можно попробовать ручками выставить блок на исходящие, тогда, может быть, и перегружаться не потребуется
 
Firewall.inf
Код:
[Version]
Signature="$Windows NT$"
ClassGUID={00000000-0000-0000-0000-000000000000}
SetupClass=Base
LayoutFile=layout.inf
 
[DefaultInstall]
DelReg = delreg
AddReg = addreg
 
;=================
; WINDOWS DEFENDER FIREWALL RULES
;=================
 
[delreg]
 
; Delete default WDF rules
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules"
 
[addreg]
 
; Block Outbound connections
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile","DefaultOutboundAction",0x00010001,1
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile","DefaultOutboundAction",0x00010001,1
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","DefaultOutboundAction",0x00010001,1
 
; Core Networking
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","CoreNet-DNS-Out-UDP",,"v2.29|Action=Allow|Active=TRUE|Dir=Out|Protocol=17|RPort=53|App=%11%\svchost.exe|Svc=dnscache|Name=@FirewallAPI.dll,-25405|Desc=@FirewallAPI.dll,-25406|EmbedCtxt=@FirewallAPI.dll,-25000|"
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","CoreNet-DHCPV6-Out",,"v2.29|Action=Allow|Active=TRUE|Dir=Out|Protocol=17|LPort=546|RPort=547|App=%11%\svchost.exe|Svc=dhcp|Name=@FirewallAPI.dll,-25305|Desc=@FirewallAPI.dll,-25306|EmbedCtxt=@FirewallAPI.dll,-25000|"
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","CoreNet-DHCPV6-In",,"v2.29|Action=Allow|Active=TRUE|Dir=In|Protocol=17|LPort=546|RPort=547|App=%11%\svchost.exe|Svc=dhcp|Name=@FirewallAPI.dll,-25304|Desc=@FirewallAPI.dll,-25306|EmbedCtxt=@FirewallAPI.dll,-25000|"
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","CoreNet-DHCP-Out",,"v2.29|Action=Allow|Active=TRUE|Dir=Out|Protocol=17|LPort=68|RPort=67|App=%11%\svchost.exe|Svc=dhcp|Name=@FirewallAPI.dll,-25302|Desc=@FirewallAPI.dll,-25303|EmbedCtxt=@FirewallAPI.dll,-25000|"
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","CoreNet-DHCP-In",,"v2.29|Action=Allow|Active=TRUE|Dir=In|Protocol=17|LPort=68|RPort=67|App=%11%\svchost.exe|Svc=dhcp|Name=@FirewallAPI.dll,-25301|Desc=@FirewallAPI.dll,-25303|EmbedCtxt=@FirewallAPI.dll,-25000|"
 
; Firefox в папке 'Program Files'
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","{BADF9320-D4A6-4554-9EF9-7C3BF892DCDD}",,"v2.28|Action=Allow|Active=TRUE|Dir=Out|App=%16422%\Firefox Developer Edition\firefox.exe|Name=Firefox|"
 
; Программа из папки 'Program Files (x86)' - для примера
;HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","{BADF111-D4A6-4554-9EF9-7C3BF892DCDD}",,"v2.28|Action=Allow|Active=TRUE|Dir=Out|App=%16426%\Моя прога\моя_прога64.exe|Name=Моя прога 64-бит|"
 
; uTorrent в C:\Appz
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","{F41C1ACC-85E3-4C76-AD1B-1881BDA59FB1}",,"v2.29|Action=Allow|Active=TRUE|Dir=In|Protocol=6|App=%24%\Appz\uTorrent\uTorrent.exe|Name=uTorrent (TCP-In)|Desc=Allow uTorrent network traffic with Edge Traversal|Edge=TRUE|"
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","{580E13F0-D5B6-4C4E-A8A5-24BA424F89FC}",,"v2.29|Action=Allow|Active=TRUE|Dir=In|Protocol=17|App=%24%\Appz\uTorrent\uTorrent.exe|Name=uTorrent (UDP-In)|Desc=Allow uTorrent network traffic with Edge Traversal|Edge=TRUE|"

Всего записей: 2879 | Зарегистр. 30-09-2002 | Отправлено: 17:27 10-01-2019 | Исправлено: Oleg_II, 17:48 10-01-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
ДНС-слив, скажем, лицензии... не более.
А ты объяснил элементарное.
Слив есть-факт, а юзер знать должен... как то так

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 17:27 10-01-2019
Oleg_II



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
Цитата:
Советую на первых порах меньше всего подкручивать дабы потом не ругаться на кривую винду (в 10 постепенно весь гуй мигрирует на WUP, а он легко ломается подкручиванием - правда также и легко восстановить, если знаешь как).
Разберёмся
Us2002
Цитата:
имхо блочь все правила, предварительно бэкапнув текущие настройки
Там очень просто вернуть настройки по умолчанию через гуи или netsh
 
 
Добавлено:
KLASS
Цитата:
Нафига создавать кучу правил, когда можно, скажем, для почты, эксклюзива (один IP) и прочего сунуть все в одно правило?
Перечитываю тут другую тему и согласен с мнением одного товарища из 2017 года - надо вначале всё запретить, а потом потихоньку приоткрывать калитку.
 
Где-то там глубо в настройках промелькнуло, что можно и программу из правил авторизовать. Не знаю, то ли это, что было в Proto Firewall, нот там при создании правила на программу, с проги "снимались отпечатки пальцев", т.е. пропускало только тот экзешник, на который создавалось правило, при замене - облом. Хэш или что там, не в курсе. Но пока лазил по настрокам виндового файрвола, что-то подобное проскочило. Не уверен на 100%, надо смотреть

Всего записей: 2879 | Зарегистр. 30-09-2002 | Отправлено: 17:30 10-01-2019 | Исправлено: Oleg_II, 17:32 10-01-2019
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru