Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Из описания темы видно, что речь пойдет о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии,
    вся "борьба" с которой сводится к отключению\перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)

    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)

    Теперь обязательно остановите и отключите службу Dnscache (DNS-клиент), для этого выполните команды от имени администратора:
    net stop Dnscache
    sc config Dnscache start= disabled

    Все, Интернета - нет, как и нет любых других соединений (кроме DHCP), включая телеметрию. Чтобы убедиться в этом используйте Wireshark.
    После такой настройки, обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра.
    Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 и рекомендации по обновлению Windows 7 SP1
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. По другому, будем создавать белый список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того, чтобы быстро разобраться какой программе, что нужно открыть в брандмауэре, можно использовать приложение Process Hacker с надстройками.
    Текущая английская сборка от Victor_VG или локализованная сборка от KLASS для Windows 10 версии не ниже 1607 Build 14393.
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" (на Windows 7 не работает, используйте набор NetworkTrafficView_russian) и
    запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим к каким портам,
    удаленным адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
     
  • Как добавлять правила в брандмауэр используя командную строку(команда netsh).
     
  • Не лишним будет добавление в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в системном трее на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws,
    без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 6445 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 23:29 13-12-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Добавил описание про пошик в шапку. А ты будь добр, добавь комментарии к каждой строчке скрипта пошика, иначе нелогично получается. Пишешь простыни и, по твоим же словам получается, что плодишь юзеров-халявщиков. Если не будешь писать пояснения, то они так ничему и не научатся, а будут ждать скрипты от тебя.

Цитата:
юзерствующий KLASS  

Ну все, выучил (при том не до конца) PowerShell и уже в разработчиках числится

Всего записей: 6445 | Зарегистр. 12-10-2001 | Отправлено: 11:03 08-03-2017
LevT



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
нелогично получается у тебя: материшь мои "простыни" - и одновременно требуешь, чтобы я их ещё удлинил.
 
Кто действительно решит поиграться с этим в ISE - быстро сам разберётся: там везде подсказки
Можно задавать мне вопросы по существу, здесь или в специальной теме Варезника.
 
Есть гайды по хорошим практикам комментирования (впрочем самоочевидным): такой код комментировать не надо, чтобы _не ухудшить_ его читаемость.
 

Всего записей: 9874 | Зарегистр. 14-10-2001 | Отправлено: 11:12 08-03-2017 | Исправлено: LevT, 11:14 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Простыни прятать надо, это раз.
А два, описание приветствуется... и скока бы ты не посылал учить пошик (в каждом посту), пошиковцев от этого в теме не добавилось.

Всего записей: 6445 | Зарегистр. 12-10-2001 | Отправлено: 11:15 08-03-2017
LevT



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Его не обязательно учить: можно просто пользоваться.
А потом втягиваешься... если хочешь получить больше возможностей.

Всего записей: 9874 | Зарегистр. 14-10-2001 | Отправлено: 11:17 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Бла-бла-бла... описание добавь, пожалуйста

Всего записей: 6445 | Зарегистр. 12-10-2001 | Отправлено: 11:18 08-03-2017
LevT



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что именно там непонятно?

Всего записей: 9874 | Зарегистр. 14-10-2001 | Отправлено: 11:19 08-03-2017
pangasiys



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а почему в шапке не написано к какой оси относится брандмауер ? например к XP подойдёт ?

Всего записей: 1685 | Зарегистр. 05-06-2012 | Отправлено: 11:23 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Все непонятно тому, кто жамкнет сЦылку и увидит простыню.
Коль бы ты добавил описание, то пользователь, прочитав оное, мог бы быстрее заинтересоваться внутренними возможностями системы, по-моему это очевидно. Что так долго мы это обсуждаем?
 
Добавлено:
pangasiys

Цитата:
например к XP подойдёт ?

Попробуй любую команду и напиши тут. Я вот уже и не помню чего там в ХР.
PowerShell тебе явно не поможет.

Всего записей: 6445 | Зарегистр. 12-10-2001 | Отправлено: 11:24 08-03-2017
LevT



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Описание.
 
Пошик позволяет создавать инструменты для повторного использования другими людьми в другом окружении.
Инструменты называются командлетами, они могут распространяться в модулях.
 
Командлет Export-NetshFirewallRule берёт массив правил фаервола и экспортирует их в текстовом формате для команды netsh
 
Инструментом управляет скрипт-контроллер, который в данном случае состоит из двух нижних строчек.
Первая получает правила фаервола, отфильтрованные по заданным ключам. Командлет Get-NetFirewallRule содержится в модуле NetSecurity начиная с Windows 8.1
 
Вторая пропускает их через представленный командлет.

Всего записей: 9874 | Зарегистр. 14-10-2001 | Отправлено: 11:27 08-03-2017 | Исправлено: LevT, 11:43 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Пост твой "умрет" (со следующей страницы), а ссылка в шапке будет жить "вечно"

Всего записей: 6445 | Зарегистр. 12-10-2001 | Отправлено: 11:31 08-03-2017
LevT



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Попробуй любую команду и напиши тут. Я вот уже и не помню чего там в ХР.
PowerShell тебе явно не поможет.

 
на XP можно установить Powershell старой 2-й версии.
Адаптировать для него современные скрипты - занятие трудоёмкое.

Всего записей: 9874 | Зарегистр. 14-10-2001 | Отправлено: 11:35 08-03-2017 | Исправлено: LevT, 11:38 08-03-2017
pangasiys



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
скажите пож - а ваша локализованная сборка ПроцессХакер порташная или установочная ?
 
Добавлено:
скачал - в описании вроде порташкая - ну и отлично - ага

Всего записей: 1685 | Зарегистр. 05-06-2012 | Отправлено: 11:42 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pangasiys
Тут обсуждаем перевод, потому там и ответил.

Всего записей: 6445 | Зарегистр. 12-10-2001 | Отправлено: 11:50 08-03-2017
LevT



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pangasiys
А нафига засорять полезный сигнал в теме шумом - если можно сразу скачать?





А нафига модерировать... укушу

Всего записей: 9874 | Зарегистр. 14-10-2001 | Отправлено: 11:50 08-03-2017 | Исправлено: KLASS, 11:55 08-03-2017
pangasiys



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
ну чтоб сразу не качать а сперва выяснить - стоит скачивать или нет - потому что мне нужна именно порташная - вот и спросил сперва




Хватит уже тут порожняк обсуждать

Всего записей: 1685 | Зарегистр. 05-06-2012 | Отправлено: 11:54 08-03-2017 | Исправлено: KLASS, 11:55 08-03-2017
shadow_member

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Возможно, стоит в ссылку на PowerShell в шапке добавить способ запуска файлов .Ps1 от админа http://rgho.st/64Jkn7CPY
 

Всего записей: 14344 | Зарегистр. 18-07-2006 | Отправлено: 12:12 08-03-2017
Gosuto



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Командлет Export-NetshFirewallRule берёт массив правил фаервола и экспортирует их в текстовом формате для команды netsh  

LevT, а, допустим, вот решил я переустановить винду, и сохранил этот массив. Можно ли:
-импортировать этот массив в свежеустановленную, с powershell [подозреваю, что можно, раз есть командлет Export-NetshFirewallRule, то, по идее, должен быть и Import-NetshFirewallRule]
-импортировать с powershell правила выборочно, т.е. загрузил в него массив, выбрал оттуда пяток, и пакетно импортируешь в систему.
Так-то я, хз.. ...но, как любитель, справлюсь?
 
 
Добавлено:
команду импорта бы... чтоб не мучаться. если есть. а то недолюбливаю курить мануалы.

----------
IT Goodies|Ru.Board в Telegram

Всего записей: 4429 | Зарегистр. 09-11-2015 | Отправлено: 12:13 08-03-2017
LevT



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gosuto

Цитата:
команду импорта бы... чтоб не мучаться. если есть. а то недолюбливаю курить мануалы.

 
в данном случае это cmd  )
поскольку решена именно задача поставленная KLASS
 
 

Цитата:
LevT, а, допустим, вот решил я переустановить винду, и сохранил этот массив.

 
сохранять CimInstances бесполезно: они живые, пока жива винда.
 
Для того, чтобы применить выбранные правила в другой винде, надо на ней собрать новые правила с заданными свойствами.
Тут возможны нюансы, потому что часть нужных правил уже существует (Set-NetFirewallRule), а часть ещё нет (New-NetFirewallRule).
 
для экспорта скорее всего достаточно
 
Get-NetFirewallRule -с нужными ключами | Where <чтототам> | Select <нужные свойства> | Export-Clixml -Depth <подобрать,чтобы экспортировались фильтры>
 
недостаток: будет много лишнего,  
преимущество: а вдруг потом понадобится что-то "лишнее" сейчас?
 
 
...ну или собрать из только нужных свойств объект для экспорта вместо [string[]]$netsh

Всего записей: 9874 | Зарегистр. 14-10-2001 | Отправлено: 12:46 08-03-2017 | Исправлено: LevT, 13:14 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Ага, добавил... привык к нему и забыл, что по умолчанию его нет

Всего записей: 6445 | Зарегистр. 12-10-2001 | Отправлено: 12:47 08-03-2017
Gosuto



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну... ясно, короче, херня тогда. овчинка выделки не стоит.
проще тогда с парсером Ратиборуса: экспортировал правила, в новой - импортировал нужные с cmd.
А если он допилит свою утилиту, чтоб она сама экспорт-импорт правил делала, вообще здорово будет. И не нужны священные пляски вокруг powershell ise


----------
IT Goodies|Ru.Board в Telegram

Всего записей: 4429 | Зарегистр. 09-11-2015 | Отправлено: 12:59 08-03-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2017

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru