Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
 
(Get-Childitem 'родительская папка' -Recurse -Filter 'Chrome.exe').FullPath
 
Если хром всегда один остается, то вот он результат.
Можно прямо сувать в ApplicationFilter
 
Если хромов там может быть несколько - скажи, я подшлифую чтобы возвращался самый свежий.  

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 17:04 23-03-2017 | Исправлено: LevT, 17:05 23-03-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
Выключить интернет:
Icons для .bat

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 21:25 23-03-2017 | Исправлено: shadow_member, 21:32 23-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
А я те два правила отключения Инета по умолчанию завел в брандмауэр, а когда вхожу в систему, то жамкаю свой батник  (где и находятся команды удаления твоих правил) с запуском десятка программ, которыми постоянно пользуюсь. Т.е. иконки некуда лепить

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 21:39 23-03-2017
CruSanodeR



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А для KIS есть правила?

Всего записей: 207 | Зарегистр. 30-09-2015 | Отправлено: 16:08 25-03-2017 | Исправлено: CruSanodeR, 16:09 25-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CruSanodeR
у правил есть параметры, которые общие для всех фаеров.
 
А вот как их импортировать в ваш любимый фаер - забота исключительно ваша и ваших братьев по уму.
Организуйтесь специальную в тему и решайте там свои проблемы.

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 16:23 25-03-2017
CruSanodeR



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Что? Импортировать?  
Нужны правила ДЛЯ ФАЙЕРВОЛА WINDOWS, а не KIS. После блокирования всех исходящих подключений, нужно создать правила для KIS, для ее обновления.

Всего записей: 207 | Зарегистр. 30-09-2015 | Отправлено: 16:28 25-03-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CruSanodeR
Брандмауэр Windows имеет тот недостаток, что он не интерактивен, т.е. не информирует пользователя о событиях. Я бы установил Binisoft Windows Firewall Control, он придаст оному брандмауэру дружелюбное лицо. Запускаешь любую программу (KIS), проверяешь обновы для него, WFC выдаст сообщение, что такой-то .ехе пытается установить связь с таким-то IP по такому-то порту и протоколу. Принимаешь решение, проверяешь, создаешь правило и т.п. Без этого никто даже и не подскажет, т.к. при установке KIS брандмауэр Windows будет отключен автоматически, но потом ты сможешь его включить.
Описанный сценарий типичен для любого фаервола.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 19:42 25-03-2017
CruSanodeR



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member

Цитата:
Запускаешь любую программу (KIS), проверяешь обновы для него, WFC выдаст сообщение, что такой-то .ехе пытается установить связь с таким-то IP по такому-то порту и протоколу

Так он (KIS) каждый день обновляет свою базу (обнова в фоновом режиме), надо каждый день создавать для него новые правила ?

Всего записей: 207 | Зарегистр. 30-09-2015 | Отправлено: 19:56 25-03-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Правило, это как проездной билет, купил, и катайся, пока не изменятся цены.  
Обычно один раз навсегда или надолго.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 20:22 25-03-2017
CruSanodeR



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В этой теме спрашивал про создание системных правил, но ответа не получил. Еще раз хочу спросить.  

Цитата:
Блокируем все исходящие подключения:
- сделали.

Цитата:
Отключаем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
 - отключили.

Цитата:
Отключаем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
- отключили.
Далее создаем 3 правила для svchost.exe.
 

Цитата:
Для svchost.exe достаточно трех правил.  
1. Для работы Windows Update.  
 Это правило можно держать выключенным и включать только на время проверки обновлений.  
Разрешить TCP исходящие, где:  
локальный порт любой;  
удаленный порт 80, 443;  
локальный адрес любой;  
удаленный адрес любой.  
2. Для работы службы времени.  
Разрешить UDP исходящие, где:  
локальный порт любой;  
удаленный порт 123;  
локальный адрес любой;  
удаленный адрес любой.  
3. Для работы службы DNS.  
Разрешить UDP исходящие, где:  
локальный порт любой;  
удаленный порт 53;  
локальный адрес любой;  
удаленный адрес любой.  
При таких правилах все остальные соединения для svchost.exe будут запрещены.  
Если установлена система Windows x64, то правило все равно нужно создавать для C:\Windows\System32\svchost.exe (т.е. как и в системах x86), а не для  
C:\Windows\SysWOW64\svchost.exe.  
Для повышения приватности разработчик рекомендует блокировать для svchost.exe диапазоны 94.245.64.0-94.245.127.255 (Microsoft Limited, VerySign Global Registry Services), 213.199.160.0-213.199.191.255 (Microsoft Internet Data Center) и др.  

 
На этом все? Больше не надо создавать какие-либо правила для самой системы(Windows)(ну кроме белого списка для программ.)?

Всего записей: 207 | Зарегистр. 30-09-2015 | Отправлено: 23:51 25-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CruSanodeR
1. Сам вручную кумулятивным обновляюсь, потому правила нет, так как неведомо, что передается при обновлении.
2. Локальный и удаленный порт 123, удаленные ip - 129.6.15.28-129.6.15.29
3. Правила DNS создаю для каждого приложения отдельно, дабы системные компоненты туда не лазили.
Для повышения приватности ничего не делал, потому как все исходящие закрыты, кроме мною разрешенных.
Еще для самой системы создает каждый сам, потому как зависит от поставленных задач перед той системой, выше об этом уже было.

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 10:44 26-03-2017 | Исправлено: KLASS, 10:44 26-03-2017
CruSanodeR



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
я обновы не ставлю, так что первый пункт мне тоже не нужен.
А 3 пункт, как я понял нужен для того, чтобы потом для всех приложений отдельно не создавать dns?

Цитата:
Еще для самой системы создает каждый сам, потому как зависит от поставленных задач перед той системой

Т.е. создаем правила для тех которые отключили?
Цитата:
Отключаем все исходящие правила M$


Всего записей: 207 | Зарегистр. 30-09-2015 | Отправлено: 11:12 26-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CruSanodeR

Цитата:
А 3 пункт, как я понял нужен для того, чтобы потом для всех приложений отдельно не создавать dns?  

Дыра, если не создавать для каждого приложения отдельно. Чем меньше svchost.exe может шариться, тем хуже не будет.

Цитата:
Т.е. создаем правила для тех которые отключили?  

Включаем отключенное и ограничиваем правило любыми доступными параметрами, например, диапазоном IP.

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 11:18 26-03-2017
CruSanodeR



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Тогда получается, что для svchost.exe достаточно одного правила

Цитата:
Локальный и удаленный порт 123, удаленные ip - 129.6.15.28-129.6.15.29
?
 
http://forum.ru-board.com/topic.cgi?forum=5&topic=29988&start=0&limit=1&m=2
Я запутался...  
Здесь же 16 правил...

Всего записей: 207 | Зарегистр. 30-09-2015 | Отправлено: 11:36 26-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CruSanodeR
Изначально для svchost.exe одно исходящее правило Основы сетей - протокол DHCP (DHCP - исходящий трафик), потом добавляем синхронизацию времени с ограничением по IP и портам.
Далее уже каждый сам от потребностей. Ссылка причем? Я же рассказал, как сам настроил.

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 11:53 26-03-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CruSanodeR
Цитата:
Я запутался...  
Здесь же 16 правил...
Это правила для стороннего фаервола, в котором имеет значение порядок расположения правил по вертикали- правила срабатывают, по порядку, сверху вниз. А в брандмауэре Windows такого нет, в нем правила располагаются по времени создания, изменить их чередование нельзя, а запрещающее правило для какого-то там xyz.exe, будь оно расположено хоть до, хоть после разрешающего, имеет приоритет перед разрешающим правилом для этого же xyz.exe, т.е. в таком случае для xyz.exe будет заблокирован выход в сеть.
От правила для svchost для проверки времени (порт 123) можешь совсем отказаться, если использовать для синхронизации времени, например, Neutron 1.07.
Если создавать правило DNS для каждого приложения, то правило DNS для svchost будет не нужно, но я так не делаю, считаю это перебором.
Если будешь использовать для блокирования диапазоны IP, то, скорее всего, нарвешься на неработоспособность чего-то- то ли чата в Скайпе или отсутствия видео при наличии аудио, то ли медленного открытия или неоткрытия некоторых страниц и т.п.
Исходить нужно от того, что самодостаточными являются те три правила, и что не разрешено, то запрещено.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 12:07 26-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Ограничения по IP, как правило для локальных соединений, скажем, через "Маршрутизация и удаленный доступ (L2TP - исходящий)" подключаюсь к офису и правило ограничено диапазонами IP провайдера. А скайп ограничивать бесполезно, кто пользует заведомо должен понимать, что это  стукач и таких стукачей либо ваще не юзать, либо из виртуалки пускать, чтобы хоть по диску не шарился.

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 12:20 26-03-2017
CruSanodeR



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Так.
Созданию для Для svchost.exe правило Для работы службы времени - Локальный и удаленный порт 123, удаленные ip - 129.6.15.28-129.6.15.29.
Для работы Windows Update - мне не нужно, не ставлю обновы.
Далее создаю правило Для работы службы DNS или правило DNS для каждого приложения, пока не знаю что именно...

Цитата:
Далее уже каждый сам от потребностей

Хм...
Если я не сис админ, не сетевик и т.п., то для браузера, kis, торрент, Internet Download Manager, steam этих правил будет достаточно(не считая белого списка)?
 

Всего записей: 207 | Зарегистр. 30-09-2015 | Отправлено: 12:24 26-03-2017 | Исправлено: CruSanodeR, 12:41 26-03-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Да, понимаю, но я не об ограничениях для Скайпа, а о том, что если блокировать массивы IP, то это может повлиять на его работоспособность.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 12:27 26-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
А, не понял сначала. Разумеется, это уже проходили.  
В конечном счете все от приложения зависит, например, Voyager вообще ограничиваю одиночными IP. Тот же браузер нет смысла (ну, кроме удаленных портов) ограничивать, себе дороже.

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 12:39 26-03-2017 | Исправлено: KLASS, 12:41 26-03-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru