Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Из описания темы видно, что речь пойдет о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии,
    вся "борьба" с которой сводится к отключению\перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик), но оставив это правило DNS помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Потому для верности, создавайте правила DNS для каждой программы из белого списка, а правило Основы сетей - DNS (UDP - исходящий трафик) предпочтительно тоже отключить.
    Отключив правило, обязательно отключите службу DNS-клиент
    Все, Интернета - нет, как и нет любых других соединений (кроме DHCP), включая телеметрию. Чтобы убедиться в этом используйте Wireshark.
    После такой настройки, обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра.
    Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 и рекомендации по обновлению Windows 7 SP1
    История кумулятивных обновлений для разных версий Windows 10
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. По другому, будем создавать белый список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того, чтобы быстро разобраться какой программе, что нужно открыть в брандмауэре, можно использовать приложение Process Hacker с надстройками.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10 версии не ниже 1607 Сборка 14393.
    Сборка Process Hacker x64 от ItsJustMe для Windows 10 версии не ниже 1809 Сборка 17763.107. Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" (на Windows 7 не работает, используйте набор NetworkTrafficView_russian) и
    запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим к каким портам,
    удаленным адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
     
  • Как добавлять или изменять правила используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, при помощи которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавление в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, т.к. правила от M$ могут быть восстановлены при очередном обновлении
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в системном трее на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws,
    без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 7509 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 09:32 27-11-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
m9ls
 
sc == Service Control Manager работает с правами Local System в контексте ядра.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")

Всего записей: 22275 | Зарегистр. 31-07-2002 | Отправлено: 17:56 19-02-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Немного потестировал настройку фаервола через GPO - пока каких либо проблем или трафика несоответствующего моим правилам не заметил, поэтому, на всякий случай, опишу подробнее, хотя выше уже упоминал об этом.
 
В общем еще один способ запретить любым программам добавлять свои правила...
 
К сожалению работает только на pro/enterprise (способ для home тут, но с ним замечены пара проблем).
 
1) gpedit.msc от администратора - Computer Configuration > Windows Settings > Security Settings > Windows Firewall with Advanced Security, все настройки фаервола исключительно тут.
2) проверяем все настройки, настраиваем как обычный фаервол, желательно не отставлять "Не задано", обязательно у всех профилей в параметрах ставим "Правила локального брандмауэра"  и "Правила безопасности локальных подкл." на "Нет"
3) забиваем свои правила, есть возможность импортировать .wfw (через контекстное меню по правому клику на названии раздела)
4) gpupdate /force
 
После чего  работают только правила добавленные через GPO, "обычные" правила игнорируются, не важно включены они или выключены, совпадают с правилами в GPO или нет.
 
В итоге получаем:
- любые обновления или установки не влияют на ваши правила в GPO (по крайней мере у меня ни одно правило пока не добавилось).
- Любые правила добавленные обычным способом любыми программами не работают.

Всего записей: 76 | Зарегистр. 24-11-2006 | Отправлено: 17:20 20-02-2018 | Исправлено: m9ls, 17:22 20-02-2018
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
недостаточно выпустить в инет только службу обновлений и оптимизацию доставки. Обновления находятся, но не скачиваются. Возможно стоит добавить службу криптографии. Но это не суть - главное принцип понятен

Всего записей: 157 | Зарегистр. 25-02-2012 | Отправлено: 20:52 03-03-2018
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Все оказалось не так просто. Предупрежду чтоб не делали ошибки. Вобщем решил я залинковать три службы по методу m9ls, а именно UsoSvc, DoSvc, wuauserv. С 1й и 3й все ок. Но вот оптимизация доставки повела себя неожиданно - не стартует. Служба не ответила на запрос своевременно и тд... При изменении ее параметров на исходные при запуске сразу вылазит ошибка 1053. Казалось бы просто изменили две веточки реестра, а потом вернули обратно - а обратного состояния уже не получается, и это странно. Когда я только провернул этот трюк, обнов не было, винда поискала их и сказала все окей мы обновлены. А сейчас обновы пришли и все - не ставятся.
 
Добавлено:
KLASS удали мои вышестоящие посты, поспешил я. Праметры запуска в службе напутал из за этого и не запускалась. Все работает как и сказал m9ls

Всего записей: 157 | Зарегистр. 25-02-2012 | Отправлено: 14:34 04-03-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Посты на форуме не удаляются, в худшем случае (например, мат) модеры ставят звездочку (*).
В вашем случае ничего криминального в постах нет. Ошиблись, исправились, доложили.
Другой будет читать, стало-быть, поймет в чем была ошибка.

Всего записей: 7509 | Зарегистр. 12-10-2001 | Отправлено: 08:42 05-03-2018
m9ls

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Уверены про UsoSvc? Он лезет в интернет при обновлении, но, помоему, не нужен.
 
я делал обновление про "не скачивание" в своем оригинальном посте,
Цитата:
UPD:
Для некоторых "других продуктов microsoft", офис VL к примеру, DoSvc  так же надо выпускать через svchost-fw.exe, иначе не будет скачивать.
У меня изолированы только DoSvc  и wuauserv (из "других продуктов" только офис VL standart), после добавления DoSvc  с проблемами скачивания не сталкивался.

Всего записей: 76 | Зарегистр. 24-11-2006 | Отправлено: 18:07 06-03-2018
alexzander2000

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Так всё-таки каким службам нужно разрешить tcp 80 и 443 для безпроблемного обновления?  
DoSvc  и wuauserv  
Или 3юю тоже добавлять?
 
Всему svchost действительно доступ давать не хотелось бы.
 
Upd: спасибо за ответ, KLASS.

Всего записей: 79 | Зарегистр. 22-06-2003 | Отправлено: 06:41 07-03-2018 | Исправлено: alexzander2000, 15:14 07-03-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alexzander2000

Цитата:
Всему svchost действительно доступ давать не хотелось бы.

Службы, используемые при обновлении, это тоже телеметрия и инфа (никто не ведает какая)
с компа летит куда надо. Видимо низя сесть на два стула, либо затыкаем все, разрешаем
только доверенным приложениям и обновляемся ручками, либо оставляем по умолчанию
и голова не болит... но сон плохой

Всего записей: 7509 | Зарегистр. 12-10-2001 | Отправлено: 10:24 07-03-2018
TaTy18

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

KLASS
Да, и "Отключаем все правила M$" иначе, телеметрия, как лилась так и будет литься.
___________________________________________________________________
Есть возможность их все сразу отключить или придётся каждое по отдельности ?

Всего записей: 1 | Зарегистр. 05-03-2018 | Отправлено: 09:02 11-03-2018 | Исправлено: TaTy18, 09:03 11-03-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TaTy18
Традиционным виндовским способом- выдели несколько правил и кликни Отключить.
 
 
Добавлено:
А если в Binisoft WFC включена опция "Защищать правила"- непосредственно из брандмауэра фиг чего удалишь

Всего записей: 16209 | Зарегистр. 18-07-2006 | Отправлено: 09:16 11-03-2018
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Службы, используемые при обновлении, это тоже телеметрия и инфа (никто не ведает какая)

можно наверно сравнить исходящий трафик компьютера натравленного на wsus сервак и на обн. с инета и ответить на этот вопрос... Хотя всус тоже может собирать...  
 

Цитата:
Уверены про UsoSvc

точно, он не нужен. Вобще приятно смотреть - винда обновляется, а куча непонятного трафика отбраковывается. Я готов смотреть на это так же долго, как на огонь, воду и тд...)
 

Всего записей: 157 | Зарегистр. 25-02-2012 | Отправлено: 12:03 12-03-2018
towarish

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господа помогите как включить разрешение на Основы сетей - DNS (UDP - исходящий трафик) если фаер уже настроен и найти эти правила в брандмауэре я не могу.

Всего записей: 1087 | Зарегистр. 06-02-2016 | Отправлено: 21:01 28-03-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Разрешить исх. UDP для svchost.exe, лок. порт- все порты, уд. порт 53, лок. IP любой, уд. IP любой

Всего записей: 16209 | Зарегистр. 18-07-2006 | Отправлено: 21:20 28-03-2018
Orphen



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, какие правила нужно включить, чтобы автоматически обновлялись дата и время?  
WFC - Windows Time Service включено.

Всего записей: 95 | Зарегистр. 20-07-2009 | Отправлено: 23:16 07-04-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Разрешить исх. UDP для svchost.exe, лок. порт- все порты, уд. порт 123, лок. IP любой, уд. IP любой.

Всего записей: 16209 | Зарегистр. 18-07-2006 | Отправлено: 09:46 08-04-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Orphen
Из шапки Как добавлять правила в брандмауэр используя командную строку, а там есть про синхронизацию времени, какие порты открыть и адреса разрешить.

Всего записей: 7509 | Зарегистр. 12-10-2001 | Отправлено: 10:11 08-04-2018
Orphen



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
KLASS
Благодарю! Получилось!
 
Ещё вопрос. Использую VPN. В клиенте есть параметр "Перетрассировка DNS-запросов" - https://www.privateinternetaccess.com/pages/client-support/#tenth. Она перестала работать. Не подскажете как её исправить?

Всего записей: 95 | Зарегистр. 20-07-2009 | Отправлено: 13:46 08-04-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Orphen
Не знаю, что это, но если оно работает при выключенном брандмауэре, то нужно смотреть в его логах, какие соединения были заблокированы, и делать соответствующие выводы в виде правил. Т.е. включил VPN, делаешь попытку выхода в интернет, не пустило, смотришь логи, делаешь вывод. Это стандартная процедура для любого фаервола.
Для облегчения блуждания в трех соснах можно установить Binisoft Windows Firewall Control, он очень-очень облегчает поиск неисправностей такого рода. По части установки/удаления WFC совершенно безобиден, если внимательно читать его сообщения при этих процедурах.

Всего записей: 16209 | Зарегистр. 18-07-2006 | Отправлено: 14:05 08-04-2018 | Исправлено: shadow_member, 14:06 08-04-2018
Orphen



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Разобрался. Нужно было включить правило "WFC - Core Networking - Dynamic Host Configuration Protocol (DHCP-Out)".

Всего записей: 95 | Зарегистр. 20-07-2009 | Отправлено: 22:12 09-04-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Увы, в той теме я забанен, но, может, прочитаешь.
4r0
Вернее будет назвать это не "бесконтрольностью Windows 10", а... "бесконтрольностью со стороны пользователя".
Некоторые приложения могут самостоятельно создавать выгодные им правила брандмауэра Windows, если этому не препятствовать, и это не новость. Вполне возможно, что брандмауэр выпустил его в сеть без правила, т.к. работает в режиме "выпускать всех, имеющих действительную ЦП", я не знаю, так ли это, это предположение.
Включение режима "Защищать правила" в Binisoft Windows Firewall Control (это надстройка) намертво лишает Windows прав на такую самодеятельность, даже через интерфейс WFwAS ни добавить, ни изменить, ни удалить правило.

Всего записей: 16209 | Зарегистр. 18-07-2006 | Отправлено: 13:21 10-04-2018 | Исправлено: shadow_member, 13:22 10-04-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды



Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru