KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft. Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.   Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности. ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:     Отключаем или удаляем все входящие правила MS, кроме Основы сетей - протокол DHCP (вх. трафик DHCP) Отключаем или удаляем все исходящие правила MS, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик) и Основы сетей - DNS (UDP - исходящий трафик). НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно): Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд. Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент. Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте программу Wireshark. Вопросы по работе программы Wireshark там. После такой настройки обновления системы и антивируса Microsoft Defender автоматически устанавливаться не будут. Последующие обновления устанавливайте ручками. Здесь берем свежие базы антивируса Microsoft Defender. Кумулятивные обновления для системы берем в Каталоге Центра обновления Майкрософт. Журнал обновлений разных версий Windows 10. Журнал обновлений разных версий Windows 11.   Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений. Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.   Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker (ныне System Informer). Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10. Вопросы по работе Process Hacker (ныне System Informer) (изучите там шапку). Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения. Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian. Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).   Как добавлять или изменять правила, используя командную строку (команда netsh).   Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).   Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.   Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от MS могут быть восстановлены при очередном обновлении.   Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)   Также, для удобства создания правил, есть программа Windows Firewall Control, все вопросы по ней в той теме и обсуждайте. Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.   Еще одна программа для удобства создания правил Firewall App Blocker | FAB.   Включить аудит Платформы фильтрации IP-пакетов   Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh   Проверка брандмауэра на наличие уязвимостей   Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика. Ищите в других местах: subinacl.exe Size: 290 304 Bytes CRC32: 90B58A75 MD5: 53cdbb093b0aee9fd6cf1cbd25a95077 SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f   Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices   Смежные темы: Настройка персональных файерволов (firewall rules) Бесконтрольность Windows 10 Быстрая настройка Windows   Шапку и около-темные вопросы обсуждаем там Всего записей: 11719 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 19:24 22-07-2025

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сегодня у меня перестали работать программы с прописанным удалённым портом 53 по протоколу UDP... Служба DNS Client выключена, правило удалено. Добавил аналогичные правила для TCP на выход по 53 порту, не взлетело. Разрешил в исходящих все соединения без ограничения по портам для программ - заработало.   У меня очень специфический провайдер, возможно, дело в этом.   Забавно, но uTorrent сам (!) при запуске прописывает свои правила не спрашивая разрешения.   Прописал для него правила, но не обратил внимания, что первая буква в названии программы - юникод. Он и прописывает второй комплект сам с названием, использующим юникод. Всего записей: 2885 | Зарегистр. 30-09-2002 | Отправлено: 09:47 11-01-2019

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Oleg_II Цитата: перестали работать программы Что по этому поводу говорит Process Hacker, т.е что блокируется? Всего записей: 11719 | Зарегистр. 12-10-2001 | Отправлено: 09:56 11-01-2019

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KLASS До Process Hacker у меня руки ещё не дошли. Но разве он поможет - работало же, т.е. блокировка происходит уже не в моей системе, на компьютере за ночь ничего не изменилось. Не пущают где-то там. Всего записей: 2885 | Зарегистр. 30-09-2002 | Отправлено: 10:14 11-01-2019

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Oleg_II Если где-то там, то тема не про то. А в Хакере просто удобно отслеживать, что не пускает здесь, у себя. Всего записей: 11719 | Зарегистр. 12-10-2001 | Отправлено: 10:17 11-01-2019

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KLASS До Хакера я обязательно доберусь, когда буду "тонко" настраивать индивидуальные программы. Но ведь вчера тот же Файрфокс работал с такими настройками (удалённый порт 53), а сегодня нет. Врядли Хакер увидит что-то новое в программе, чего не было вчера.   Тема про настройку, а тут, получается, пример, что не всегда работает с общими рекомендациями. Вдруг у кого тоже будет такая ситуация.   И по юТорренту интересно - как это он самостоятельно без спросу себя прописывает в правила? Это что же за защита такая получается?   ЗЫ Впрочем, подумалось, я ж, наверное, типа, Администратор (?), т.е. программа запускается от имени администратора и пишет напрямую. Но всё равно, не порядок Почему это мне надо при запуске какой-то программы выбирать "Run as Administrator", а некоторые делают это тайком от меня?! Всего записей: 2885 | Зарегистр. 30-09-2002 | Отправлено: 10:23 11-01-2019 | Исправлено: Oleg_II, 10:27 11-01-2019

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Us2002 Цитата: а взлетит ли если свцхост разрешить на днс и время, запретив исходящие по дефолту? А вот здесь чуть по-медленнее :   Служба DNS у меня выключена (проверил). Дать доступ svhost.exe только на исходящие соединения по протоколу DNS  и ещё куда это - "на время"?   Без обид, я просто в этом ни в зуб ногой, получаю знания по ходу дела Всего записей: 2885 | Зарегистр. 30-09-2002 | Отправлено: 10:38 11-01-2019

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Oleg_II Цитата: Врядли Хакер увидит что-то новое в программе, чего не было вчера.   Просто попробуй глянуть, там сложного ничего нет. Открываешь в Хакере вкладку Firewall и запускаешь Файрфокс. Торрент прописывает входящие правила, которые по умолчанию в выни запрещены. Он ведь должен делится контентом, вот и прописывает. А вот почему у тебя не спрашивает, вопрос к тебе, потому как при прописывании входящих правил сторонним ПО, брандмауэр у меня вопит. Например, удаляю входящие правила торрента и запускаю его, сразу ругань Цитата: Дать доступ svhost.exe только на исходящие соединения по протоколу DNS Ну да, включить правило по умолчанию "Основы сетей - DNS (UDP - исходящий трафик)" и включить службу DNS-клиент. Всего записей: 11719 | Зарегистр. 12-10-2001 | Отправлено: 10:38 11-01-2019 | Исправлено: KLASS, 10:42 11-01-2019

shadow_member Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Oleg_II Пара ненавязчивых хинтов. Как достиг какого-то стабильного уровня, забекапь правила, делай это хоть каждый вечер. А как днем что-то сломал, будет откуда восстановить правила. Binisoft WFC v5.3.1.0 имеет опцию защиты от самосоздания правил. uT у тебя, конечно, самых свежих супер-пупер-банто-кружевных версий? На старой v2.2... нет такого, а качает так же, с одним недостатком - нет кнопок соц. сетей, а меня это просто кошмарит Гложут сомнения, что это провайдер, скорее всего, ты сам сломал что-то, не заметив этого. Ad Цитата: удаляю входящие правила торрента и запускаю его, сразу ругань Это вроде тут настраивается?   Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 10:41 11-01-2019 | Исправлено: shadow_member, 10:47 11-01-2019

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KLASS Цитата: Ну да, включить правило по умолчанию "Основы сетей - DNS (UDP - исходящий трафик)" и включить службу DNS-клиент. Это изначально работало вчера и сегодня я тоже пробовал, когда интернет пропал запускать службу и добавлять правило - так работает.   Не работает при остановленной службе, удалённом правиле и прописанных удалённых портах 53 на выход по протоколу UDP - если последнее изменить на все протоколы и все порты (для конкретной программы), то работает.   shadow_member Цитата: Как достиг какого-то стабильного уровня, забекапь правила, делай это хоть каждый вечер. А как днем что-то сломал, будет откуда восстановить правила. Опыт подсказывает, что ты здесь прав. Но всегда же чешутся руки добавить чего-нибудь, а ещё хуже - изменить в работающем файле установок, так и ломается, да uTorrent из ветки программ, да, предпоследний из их обсуждения, до этого вообще на версии 1.-с чем-то сидел (боюсь запускать файл, чтобы конфликта не было, а в свойствах не указана версия, весит 173 КБ). Отсутствие соц-сетей меня не кошмарит, так как здесь почти всё и так забанено   Us2002 Цитата: да, на 53й тцп/удп и 123й удп Сейчас попробую. Всего записей: 2885 | Зарегистр. 30-09-2002 | Отправлено: 10:55 11-01-2019

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Oleg_II Цитата: Это изначально работало вчера и сегодня я тоже пробовал, когда интернет пропал запускать службу и добавлять правило - так работает.   Стало-быть блочит у тебя, но не где-то там и Хакер тебе все разжует. Всего записей: 11719 | Зарегистр. 12-10-2001 | Отправлено: 10:58 11-01-2019

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Us2002 Цитата: на 53й тцп/удп и 123й удп Так, докладываю: создал новое правило для %SystemRoot%\System32\svchost.exe на выход по протоколу TCP на удалённые порты 53,123. Всё работает.   Только я не очень понял, что эти установки дают и на что влияют?   Добавлено: KLASS Цитата: Стало-быть блочит у тебя, но не где-то там и Хакер тебе все разжует. Так вчера же у меня работало. И так и эдак. А сегодня только по первому варианту или при внесении изменений во второй.   Хакер вчера бы показал кто от меня ломится, и сегодня лица будут всё те же, так же будут ломиться. Но вчера они проходили, а сегодня нет.     Добавлено: Us2002 Цитата: https://en.wikipedia.org/wiki/DNS_over_TLS Терзают меня смутные сомнения, что я где-то эти буковки видел... Кажется, в статус баре что-то такое проскакивает вроде TLS shakehand with... Но могу и ошибаться, очень быстро там всё мелькает. Всего записей: 2885 | Зарегистр. 30-09-2002 | Отправлено: 11:04 11-01-2019

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Хакер вчера бы показал кто от меня ломится, и сегодня лица будут всё те же, так же будут ломиться. Но вчера они проходили, а сегодня нет.   Рассуждаешь, но не делаешь чего предлагают... скучно. Всего записей: 11719 | Зарегистр. 12-10-2001 | Отправлено: 11:13 11-01-2019

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Us2002 Взлетит, думаю... но до перезагрузки компа Всего записей: 11719 | Зарегистр. 12-10-2001 | Отправлено: 11:16 11-01-2019

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KLASS Давайте по полочкам разложим   1-й вариант из шапки: По умолчанию блокировка только входящих соединений, исходящие блокирую дополнительно.   Удалил все правила для исходящих и иходящих соединений кроме:   Inbound Rules: - Core Networking - Dynamic Host Configuration Protocol (DHCP-Out) - Core Networking - Dynamic Host Configuration Protocol for IPv6(DHCPV6-Out)   Outbound Rules: - Core Networking - DNS (UDP-Out) - Core Networking - Dynamic Host Configuration Protocol (DHCP-Out) - Core Networking - Dynamic Host Configuration Protocol for IPv6(DHCPV6-Out)   Программы работают при прописывании разрешающих правил (общих, без указания портов). Служба DNS Client работает (правило выше указано).   2-й вариант из шапки. По умолчанию блокировка только входящих соединений, исходящие блокирую дополнительно.   Удалил все правила для исходящих и иходящих соединений кроме:   Inbound Rules: - Core Networking - Dynamic Host Configuration Protocol (DHCP-Out) - Core Networking - Dynamic Host Configuration Protocol for IPv6(DHCPV6-Out)   Outbound Rules: - Core Networking - Dynamic Host Configuration Protocol (DHCP-Out) - Core Networking - Dynamic Host Configuration Protocol for IPv6(DHCPV6-Out)   Программы работают при прописывании разрешающих правил и с разрешением исходящих соединений по протоколу UDP на удалённый 53 порт. Служба DNS Client отключена совсем (правило удалено).   1-й вариант работал и работает. Второй вариант (с отключением службы и удалением правила) работал вчера, а сегодня работает только если убрать ограничение программам по протоколу и порту. Всего записей: 2885 | Зарегистр. 30-09-2002 | Отправлено: 11:20 11-01-2019

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование