Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
icijafi

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет. Скажите, пожалуйста, как отключить DNS клиент в Windows 10 Pro (1709)? Когда захожу в службы и нажимаю "Остановить", то появляется окно с сообщением "Не удается остановить службу отказано в доступе". Если вводить команду "net stop Dnscache" в cmd с правами администратора, то выходит та же самая ошибка, что отказано в доступе. В чём может быть причина? Система свежая - проверял сразу после установки.

Всего записей: 30 | Зарегистр. 20-12-2017 | Отправлено: 15:07 05-02-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
icijafi
Process Hacker от админа останавливает и запускает на v1607, попробуй и на v1709
 

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 17:47 05-02-2018 | Исправлено: shadow_member, 17:48 05-02-2018
icijafi

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member, спасибо за ответ. А без сторонних утилит это можно реализовать?

Всего записей: 30 | Зарегистр. 20-12-2017 | Отправлено: 22:51 05-02-2018 | Исправлено: icijafi, 22:57 05-02-2018
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
icijafi

reg add HKLM\SYSTEM\CurrentControlSet\Services\Dnscache /v Start /t REG_DWORD /d 4 /f

Всего записей: 400 | Зарегистр. 25-02-2012 | Отправлено: 16:11 06-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
возможно кто то уже упоминал, но на всякий предложу вариант альтернативу заливке правил каждый раз при входе в систему, использовал давно на w7 (на 10ке не проверял), всегда раздражало что каждая программа при каждом чихе пытается добавить себя в исключения.
 
1) настраиваете правила.
2) на ветки реестра в с правилами (легко ищется по названию любого правила) заменяете владельца на своего пользователя, можно и любого другого, главное системного пользователя не оставляйте.
3) под этим пользователем убираете права на запись на ветку реестра с правилами абсолютно всем пользователям, в т.ч. и себе, оставляете только чтение.
 
После данных манипуляций больше никаким способом никакой программе новые правила добавить не удастся, если нужно что то изменить, открываете реестр, ставите права на запись, изменяете, проверяете, убираете права на запись. Можно попробовать автоматизировать скриптом.
 
UPD
Powershell скрипты для автоматизации, чтобы не ползать каждый раз в реестр, можно посмотреть тут.
Придется выдать полные права на ветку FirewallRules пользователю от имени которого будут запускаться скрипты, права админа не обязательны.
 
UPD2
Нашились некоторые проблемы, подробности тут
 

Всего записей: 77 | Зарегистр. 24-11-2006 | Отправлено: 00:07 10-02-2018 | Исправлено: m9ls, 15:04 19-02-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls
Цитата:
вариант альтернативу заливке правил каждый раз при входе в систему, использовал давно на w7 (на 10ке не проверял)
Работает и на 10, мембер KLASS это применяет. Как по мне, слишком радикальный способ.
А твою альтернативу возьмем на заметку.
Binisoft WFC, опция "Защищать правила"- защищает от несанкционированного добавления правил.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 09:51 10-02-2018
Still777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls, спасибо за полезный совет, давненько искал способ как заблокировать от изменений свои правила.
Ветка в реестре с правилами брандмауэра в вин 7:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
Легче всего переходить по веткам реестра через RegOwnershipEx.
 
Осталось главное - грамотно настроить разрешения и запреты в ветке FirewallRules, пока пробую на виртуалке.

Всего записей: 124 | Зарегистр. 14-12-2014 | Отправлено: 18:46 10-02-2018
icijafi

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz, спасибо, помогло. А Вы не знаете, почему данная служба не может быть остановлена стандартными средствами? В Windows 10 Pro v1607 всё было нормально.

Всего записей: 30 | Зарегистр. 20-12-2017 | Отправлено: 22:47 10-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Still777
на самом деле нужен только 1 пользователь "MpsSvс", у него нет полных прав, но в специальных стоит запись и удаление. Только от этого пользователя зависит можно редактировать правила или нет. Стоят на запись - можем (даже если у system чтение), если не стоят - доступ запрещен. Остальное я так для перестраховки, но, опять же, не уверен по поводу w10, так что надо тестить

Всего записей: 77 | Зарегистр. 24-11-2006 | Отправлено: 00:56 11-02-2018 | Исправлено: m9ls, 00:58 11-02-2018
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А Вы не знаете, почему данная служба не может быть остановлена стандартными средствами?

 
Этого не знаю, и эта служба не единственная "неотключаемая", без которой можно жить. Вы, возможно, дойдете до изменения задач планировщика заданий и увидите что там тоже из интефейса многое не изменить. GUI - не лучший способ настраивать виндовс, там вечно натыкаешся на раздражающую заботу корпорации о тебе.

Всего записей: 400 | Зарегистр. 25-02-2012 | Отправлено: 10:21 11-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрался я все же до настройки фаервола на 10ке, и столкнулся с проблемой которая тут уже обсуждалась - разрешить исходящий трафик для Windows Update, правила которые работали в 7ке, отказываются работать в 10ке. То решение которое нашел в этой теме (разрешить svchost.exe 443 и 80, при этом не указывая службу) меня не устроило, не хочется выпускать весь svchost.exe, качать обновления и ставить вручную (или пользоваться сторонними приложениями), честно говоря, немного лениво.  
 
После гугления и небольших мучений получилось следующее решение, чем и делюсь, может пригодиться:
 
1) Назначаем себя владельцем на svchost.exe и ставим себе полные права на файл.
2) Создаем хардлинк mklink /H svchost-fw.exe svchost.exe (из сmd от имени владельца)
3) Удаляем полные права которые поставили в п.1, владельца возвращаем обратно (NT Service\TrustedInstaller)
4) Идем в Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv и меняем  svchost.exe на svchost-fw.exe в ImagePath (тем самым изолируя Windows Update от остальных служб), там же Type меняем на 10 (или 0x16)
5) перезагружаемся
6) создаем правило в котором выпускаем svchost-fw.exe на 443 и 80 (теперь будет находить обновления, но не будет качать)
7) создаем правило в котором выпускаем svchost.exe и службу DoSvc (Delivery Optimization) на 443 и 80 (теперь будет качать)
 
Вроде ничего не забыл.. ах да, время от времени экзешник у wuauserv обратно меняется на svchost.exe, вроде как Windows Defender меняет при сканировании, в любом случае, запустить батник или файл импорта реестра, который перед обновлением вернет svchost-fw.exe, не проблема.
 
UPD:
Для некоторых "других продуктов microsoft", офис VL к примеру, DoSvc  так же надо выпускать через svchost-fw.exe, иначе не будет скачивать.

Всего записей: 77 | Зарегистр. 24-11-2006 | Отправлено: 15:36 11-02-2018 | Исправлено: m9ls, 13:56 23-02-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls
Не проще правило
Цитата:
(разрешить svchost.exe 443 и 80, при этом не указывая службу)
держать постоянно выключенным, включая только на период проверки обновлений?

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 18:51 11-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
держать постоянно выключенным, включая только на период проверки обновлений?  

Ну я и мои правила для обновления держу выключенным, включаю только когда решаю обновить систему.
 
а по поводу разрешить все для svchost.exe на 443, как и писал в предыдущем посте - меня не устроило, я сниферил на роутере, как только разрешаю svchost.exe 443 - трафик сразу огромный, видимо сливает все что накопилось, при этом windows update отключен. Конечно, я не все еще поотключал, но все же. Следуя вашему совету еще проще можно сделать - вообще правил не писать, просто отключать фаервол на время обновления.  
 

Всего записей: 77 | Зарегистр. 24-11-2006 | Отправлено: 19:56 11-02-2018 | Исправлено: m9ls, 20:42 11-02-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls
Ручками обновляться?

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 22:24 11-02-2018
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls
 
Это гениально. Реально круто. Глюков замечено не было? Журнал ошибок как отреагировал на подмену?

Всего записей: 400 | Зарегистр. 25-02-2012 | Отправлено: 11:05 12-02-2018
Still777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls

Цитата:
на самом деле нужен только 1 пользователь "MpsSvс"

Именно так и есть, подтверждаю, что в первую очередь надо настроить MpsSvс и лишить его особых разрешений, пробовал на вин 7, 8.1 и 10(ltsb 1607).
В виде бонуса после этих настроек - перестала работать функция "Восстановить значения по умолчанию", что только плюс для меня.
 
Но все равно, нельзя до конца  быть уверенным в брандмауэре, пока его с легкостью можно отключить, например через cmd соответствующей командой.
Сейчас ищу способ, чтобы полностью запретить отключение самого брандмауэра.

Всего записей: 124 | Зарегистр. 14-12-2014 | Отправлено: 14:41 12-02-2018 | Исправлено: Still777, 19:24 12-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Вы про что? Если про windows update, то это не я придумал, на англоязычных ресурсах упоминается это метод несколько раз, к пример тут
https://blogs.technet.microsoft.com/askperf/2008/01/11/getting-started-with-svchost-exe-troubleshooting/
там где "Method 2: Creating an isolated Service Group", правда там предлагают вообще копировать svchost.exe и переименовывать его, но смысл тот же.
 
За пару дней наблюдения не столкнулся ни с какими проблемами (я много чего еще настраиваю, отключаю, включаю,  блокирую, так что по логам сложно судить).

Всего записей: 77 | Зарегистр. 24-11-2006 | Отправлено: 17:14 12-02-2018 | Исправлено: m9ls, 17:22 12-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
добавил в сообщение о блокировке правил скрипты для быстрого запрета/разрешения на редактирование.

Всего записей: 77 | Зарегистр. 24-11-2006 | Отправлено: 17:38 13-02-2018 | Исправлено: m9ls, 17:38 13-02-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls
После очередного обновления от Мелких права на ветку не восстанавливаются
и "новые" (старые) правила от них не появляются?

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 08:58 16-02-2018 | Исправлено: KLASS, 09:04 16-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Still777
Цитата:
Сейчас ищу способ, чтобы полностью запретить отключение самого брандмауэра.
Запретить включение отключение брандмауэра можно через локальные или глобальные политики, а вот запрещать останавливать/запускать службы администраторам, в данном случае службу брандмауэра, можно только устанавливая права через sdshow, sdset (к примеру "sc sdshow MpsSvc" покажет установленные права на службу брандмауэра). Придется немного погуглить, но ничего сложного. Я никогда не пробовал отбирать права на запуск/остановку у системых пользователей("sc" скорее всего работает от system), но можете попробовать (скорее всего служба не стартанет при запуске ос).
 
 
KLASS
нет не восстанавливаются, никаких правил не добавляется.
Но нашлась небольшая проблема, при первом входе нового пользователя в w10 (при создании профиля) нужно восстанавливать права на запись на эту ветку иначе часть приложений откажется работать (к примеру пуск не будет открываться). После первого входа можно снова отбирать права на запись (и не забыть импортировать обратно свои правила, потому что добавятся стандартные).
 
В общем мне это не очень понравилось (наверняка вылезут еще косяки), поэтому тестирую вот этот способ:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc732770(v=ws.10)
когда Apply local firewall rules ставится NO в GPO. Вроде работает, любые локальные правила полностью игнорируются (но при этом добавляются и включены), работают только GPO правила. У меня пока не хватает времени сесть и по хорошему все проверить, чтобы убедиться что действительно нет лишнего трафика, может кто то уже тестировал?  
Жаль конечно что этот способ только для старших редакций, я в основном для дома/знакомых ищу варианты, а там поголовно home версии.

Всего записей: 77 | Зарегистр. 24-11-2006 | Отправлено: 11:52 19-02-2018 | Исправлено: m9ls, 14:57 19-02-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru