KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Из описания темы видно, что речь пойдет о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению\перенастройке почти всех правил Microsoft. Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.   Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности. ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:     Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP) Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик) и Основы сетей - DNS (UDP - исходящий трафик), но оставив это правило DNS помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд. Потому для верности, создавайте правила DNS для каждой программы из белого списка, а правило Основы сетей - DNS (UDP - исходящий трафик) предпочтительно тоже отключить. Отключив правило, обязательно отключите службу DNS-клиент Все, Интернета - нет, как и нет любых других соединений (кроме DHCP), включая телеметрию. Чтобы убедиться в этом используйте Wireshark. После такой настройки, обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками. Актуальный список обновлений для Windows 10 и рекомендации по обновлению Windows 7 SP1 История кумулятивных обновлений для разных версий Windows 10   Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. По другому, будем создавать белый список приложений. Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.   Для того, чтобы быстро разобраться какой программе, что нужно открыть в брандмауэре, можно использовать приложение Process Hacker с надстройками. Текущая английская сборка от Victor_VG или ее локализованный вариант от KLASS для Windows 10 версии не ниже 1607 Build 14393. Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" (на Windows 7 не работает, используйте набор NetworkTrafficView_russian) и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим к каким портам, удаленным адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.   Как добавлять или изменять правила используя командную строку (команда netsh).   Контекстное меню в проводнике для файлов .EXE, при помощи которого можно добавлять правила в брандмауэр (Shift+ПКМ).   Не лишним будет добавление в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.   Импортируйте свои правила при каждом входе в систему через Планировщик, т.к. правила от M$ могут быть восстановлены при очередном обновлении   Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)   Также, для удобства создания правил, есть другой инструмент Windows Firewall Control. Это надстройка, которая работает в системном трее на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.   Включить аудит Платформы фильтрации IP-пакетов   Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell   Проверка брандмауэра на наличие уязвимостей   Смежные темы: Настройка персональных файерволов (firewall rules) Бесконтрольность Windows 10 Быстрая настройка Windows   Шапку и около-темные вопросы обсуждаем здесь Всего записей: 7411 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 08:56 01-09-2018

Valery_Sh Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Us2002 Цитата: какое вообще может быть соединение по удп, чёрт возьми,   во-во, я ждал этого вопроса. Ответ простой: патамушта перепендикуляр потому что 3-я строка здесь http://forum.ru-board.com/topic.cgi?forum=62&topic=30521&start=799&limit=1&m=1#1 для icmp будет то же самое, хотя явных соединений как tcp он тоже не создаёт. icmp ответ вообще может прилететь при попытке tcp соединения на закрытый порт или о недоступности сети/хоста, и будет принят. Потому что стандарт один для всех.   зы\ впрочем, повторюсь: хозяин - барин. Охота изучать методом тыка? Ну, в каждой избушке свои погремушки. Всего записей: 1518 | Зарегистр. 30-06-2008 | Отправлено: 02:19 18-08-2017 | Исправлено: Valery_Sh, 02:25 18-08-2017

TVN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Благодарю, что не послали! Проблему решать самому? Всего записей: 2459 | Зарегистр. 19-09-2003 | Отправлено: 19:06 18-08-2017

Valery_Sh Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Us2002 Вот ты неугомонный.... Проще ж проверить, чем гадать на кофейной гуще.   8.8.8.8 в браузер + правило на роутере.(правило временное, в качестве лаба)   Винда http://ipic.su/7yvAsP.png Линь http://ipic.su/7yvAsR.png статистика на роутере для правила, которое при блокировке отправляет icmp-host-unreachable http://ipic.su/7yvAsU.png   Как видим, поведение одинаково и на винде, и на лине. Если вспомнить те самые 4 состояния, icmp ответ соотв. RELATED. Объяснение простое и понятное.   На винде правила вообще не менялись. А нет, вру, для utorrent и qBittorrent добавлялись при их тестировании с SSD.   На лине правила для входящих уже показывал. Дополнительно там только разрешающее для loopback и блок (цепочка), в котором правила для Samba и прочих локальных заморочек.   Потому и писал про литературу по netfilter/iptables, что в ней подробно разобраны иногда сложные для понимания вопросы. А "тИкает" оно везде одинаково, потому что используется одна модель. Всего записей: 1518 | Зарегистр. 30-06-2008 | Отправлено: 19:07 18-08-2017 | Исправлено: Valery_Sh, 22:19 18-08-2017

Valery_Sh Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Us2002 Цитата: определяется внутренней логикой софта, не так ли? Ты ж вроде не новичок, и вдруг такие вопросы....   Логика взаимодействия определяется используемой моделью. В нашем случае - сетевой.   Менее абстрактно. "Сетевое окружение" винды - чисто мелкомягкое детище, - доступно из под линя. Равно как и наоборот, сервер samba из под винды. Почему бы вдруг, ведь софт и ОС разные ? Вот. Так и с остальным - пока придерживаемся одной модели, работает одинаково. Внутренние нюансы интересны разве что  разработчикам софта. m$ может и желала бы построить чисто свой лунапарк, загнать всех в него, и анально огородиться, но здесь как в том анекдоте про слона и центнер бананов. Пока в m$ есть технари до этого не дойдёт. Разве что менеджеры m$ окончательно спятят, разгонят всех технарей, и таки займутся всегалактическим проектом. Всего записей: 1518 | Зарегистр. 30-06-2008 | Отправлено: 13:06 20-08-2017

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добавил в шапку проверку брандмауэра на сайте Steve Gibson Всего записей: 7411 | Зарегистр. 12-10-2001 | Отправлено: 21:29 20-08-2017

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alekseipunchin Цитата: и успешно получает IP адрес для домена dns.msftncsi.com Где смотреть, что IP адрес получен? Всего записей: 7411 | Зарегистр. 12-10-2001 | Отправлено: 18:02 27-08-2017

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alekseipunchin Цитата: который подключается к svchost через службу DNS-клиент и успешно получает IP Так если она отключена, но адрес получен, стало-быть, она и не нужна для получения IP службой NlaSvc, а так как Цитата: задать разрешающее правило сервису svchost для службы DNS-клиент на порт 53 то NlaSvc туда и лезет, как то так. Отсюда, есть над чем задуматься... и глушить svchost по максимому. ) Всего записей: 7411 | Зарегистр. 12-10-2001 | Отправлено: 19:26 27-08-2017

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alekseipunchin Попробуйте задать запрещающее правило для NlaSvc и в Акуле глянуть, может так притихнет. Всего записей: 7411 | Зарегистр. 12-10-2001 | Отправлено: 20:16 27-08-2017

Valery_Sh Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alekseipunchin Извините, но меня ставят в тупик 2 тезиса. Цитата: Работу этого сервиса запретить не сложно. и в то же время Цитата: Мне просто было интересно почему он так себя ведёт. Причем, насколько я понял, брандмауэр Windows воспринимает Dnscache и NlaSvc как одинаковые службы если вы смотрели реестр винды, то видели как стартуют эти севрисы ?? Какие вопросы могут быть? Нет влияния " по чуть-чуть", оно либо работает, либо - нет.   исправил очепятки Всего записей: 1518 | Зарегистр. 30-06-2008 | Отправлено: 09:53 31-08-2017 | Исправлено: Valery_Sh, 11:01 31-08-2017

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Присоединяйтесь к теме, высказывайтесь и спрашивайте. Рубордовский репозиторий PowerShell Всего записей: 7411 | Зарегистр. 12-10-2001 | Отправлено: 15:49 31-08-2017

tener Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня нубский вопрос... вот если сравнивать такие файерволлы как Protegent бывший* Outpost и встроенный в винду, то при грамотной настройке какой лучше. Где-то слышал что встроенным нельзя заблокировать трафик по протоколу BITS например. К протегенту (Аутпосту) уже привык, ставлю на все компы но он в плане юзабилити на уровне 98 винды, хочу попробывать вот_этот использующий ядро встроенного в систему файерволла только вот времени у меня нет по этому и спрашиваю ( Всего записей: 117 | Зарегистр. 11-04-2008 | Отправлено: 16:08 31-08-2017 | Исправлено: tener, 16:10 31-08-2017

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Где-то слышал что встроенным нельзя заблокировать трафик по протоколу BITS например.   Ну, настройте местный брандмауэр, как сказано в шапке и попробуйте скачать обновления для системы или Защитника, там как раз BITS используется. Если удачно, то местный брандмауэр сплошная дырка. Сравнивать здесь в теме со сторонним ПО, думаю, не уместно, раздел таки по Windows. Сторонний выбирают только из-за легкости настройки. Навешайте Windows Firewall Control и будет тоже самое. Всего записей: 7411 | Зарегистр. 12-10-2001 | Отправлено: 17:40 31-08-2017

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows

Имя: Пароль: Сообщение Для вставки имени, кликните на нем. Опции сообщения Добавить свою подпись Подписаться на получение ответов по e-mail Добавить тему в личные закладки Разрешить смайлики? Запретить коды

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование