KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft. Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.   Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности. ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:     Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP) Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик) и Основы сетей - DNS (UDP - исходящий трафик). НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно): Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд. Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент. Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark. После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками. Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь. История кумулятивных обновлений для разных версий Windows 10 доступна здесь.   Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений. Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.   Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker. Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10. Вопросы по работе Process Hacker (изучите там шапку). Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения. Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian. Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).   Как добавлять или изменять правила, используя командную строку (команда netsh).   Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).   Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.   Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.   Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)   Также, для удобства создания правил, есть другой инструмент Windows Firewall Control. Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.   Еще одна программа для удобства создания правил Firewall App Blocker | FAB.   Включить аудит Платформы фильтрации IP-пакетов   Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh   Проверка брандмауэра на наличие уязвимостей   Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика. Ищите в других местах: subinacl.exe Size: 290 304 Bytes CRC32: 90B58A75 MD5: 53cdbb093b0aee9fd6cf1cbd25a95077 SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f   Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices   Смежные темы: Настройка персональных файерволов (firewall rules) Бесконтрольность Windows 10 Быстрая настройка Windows   Шапку и около-темные вопросы обсуждаем здесь Всего записей: 11539 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 12:52 08-09-2024

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Us2002 Цитата: ну если теперь выключить днскеш, свцхосту разрешить только удп123, а лисе добавить 853 тцп/удп, взлетит инет? Так у меня днскеш выключен уже...   Сейчас попробую забрать у свцхоста 53 порт, а лису ограничить 853-портом (два правила отдельно на тцп и удл).   KLASS Я должен понимать логику как минимум. Вчера программа ломилась и сегодня ломится одинаково. Вчера она пробивалась, а сегодня нет. Что мне покажет Хакер, чего бы он не показал вчера?   Добавлено: Us2002 Цитата: ну вот зачем он, может сначала ограничиться только классикой? Это тоже DHCP, в шапке не указано какой именно оставлять. Оставил оба. Всего записей: 2882 | Зарегистр. 30-09-2002 | Отправлено: 11:25 11-01-2019

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Us2002 Был момент, когда разрешал правило и запускал службу, соединения восстанавливались. Отключаю правило и службу тут же, соединения есть. Где то это кешируется\прописывается, не ведаю... Потому и предложил не включая правила и службы глянуть в Хакере и там все увидим... Oleg_II Уточняю, отключи все кроме входящих "Основы сетей - протокол DHCP (вх. трафик DHCP)" исходящих: Основы сетей - протокол DHCP (DHCP - исходящий трафик)   и Основы сетей - DNS (UDP - исходящий трафик). Хочешь отключить Основы сетей - DNS (UDP - исходящий трафик)-отключай, но если не будет соединений. то запусти Хакера. Раз сделай, что прошу, а там будем поглядеть Всего записей: 11539 | Зарегистр. 12-10-2001 | Отправлено: 11:27 11-01-2019

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Us2002 Не понял, ты про отключение совсем этого входящего правила или про что? Всего записей: 11539 | Зарегистр. 12-10-2001 | Отправлено: 11:42 11-01-2019

WildGoblin Ru-Board Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KLASS Цитата: ...и не забываем, что некоторые программы могут воспользоваться им для своих нужд. Он и придуман для того что бы им пользовались для своих нужд программы и не тратили понапрасну ресурсы компа и сети. Цитата: Инжект может быть куда хошь-да... Не может он быть откуда хошь - проги должны обладать высокими правами в системе и иметь подобный функционал! Цитата: Не отключай. Конечно не отключу - тем более я привёл в пример код позволяющий предохраниться от возможной проблемы по умному, а не ограничивая функционал ОС.   Oleg_II Цитата: Забавно, но uTorrent сам (!) при запуске прописывает свои правила не спрашивая разрешения. Не запускай его с админскими правами и не пропишет. Цитата: Терзают меня смутные сомнения, что я где-то эти буковки видел... DNS over TLS работает только при наличии соединения клиент-сервер т.е. у тебя в системе должно быть что-то типа vpn-клиент, который проксирует все днс-запросы ОС до удалённого спец. днс-сервера - трафик шифруется, что позволяет быть уверенным в его неизменности по пути следования. Всего записей: 33316 | Зарегистр. 15-09-2001 | Отправлено: 11:47 11-01-2019

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору WildGoblin Цитата: Он и придуман для того что бы им пользовались Передернул, прекрасно понимая о чем я говорил. Ты же видел ссылки в шапке. Цитата: проги должны обладать высокими правами Отвлекаешься от темы. У нас все админы в Выни Цитата:  тем более я привёл в пример код позволяющий Но ничего не пояснил, вывалив код Всего записей: 11539 | Зарегистр. 12-10-2001 | Отправлено: 11:52 11-01-2019

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А ларчик открывался просто!   Вчера с просонья и перед походом в люльку, сделал и применил файл настройки конфигурации с ОДНИМ правилом для Файрфокса - только на выход по UDP удалённый порт 53. Т.е. там уже было общее правило (которое, как я понимаю, разрешало ВСЕ протоколы), а я его переделал на правило конкретно под один протокол.   Вобщем, добавил ещё одно правило для Файрфокса на выход по протоколу TCP (без прописывания портов) и всё заработало!   ЗЫ В правилах из базы оставил только рекомендованные: Inbound Rules: - Core Networking - Dynamic Host Configuration Protocol (DHCP-In)   Outbound Rules: - Core Networking - Dynamic Host Configuration Protocol (DHCP-Out)   Сервис DNS Client выключен.   Сейчас перегружусь на всякий случай, а то напугали юзера   Добавлено. Работает, полёт нормальный   Добавлено: WildGoblin Согласен с Вашим доводом по поводу кэширования днс - скорее всего ускоряет работу. Но вот в обычной жизни как-то это ускорение не заметно. Возможно, это заметно при очень больших объёмах обращений к разным ресурсам сети на серверах или базах данных?   А в чём ещё подводные камни отключения DNS клиента? Заметил, что от этой службы зависит ещё какая-то (какой-то помощник), наверное, тоже сейчас не запустилась (надо глянуть).   Про uTorrent. По клику правой клавишей мыши на файле у меня есть пункт "Запустить от имени Администратора". Я программу так не запускаю, но, получается, она сама стартует как от имени Администратора? Если я в системе Администратор, то зачем тогда этот пункт в контекстном меню?   Добавлено: Чешу репу... Нужен совет: у меня 10-ка 64-битная. Хотел сделать правило на Ослика (Интернет Эксплорер), а у меня их два o_O Один в папке 'Program Files', а другой в папке 'Program Files (x86).   Понимаю, что для вас это может быть очевидно, но не для меня   ЗЫ Через меню Старт вышел на папку, откуда идёт линк, он из Program Files. Всего записей: 2882 | Зарегистр. 30-09-2002 | Отправлено: 12:15 11-01-2019 | Исправлено: Oleg_II, 12:54 11-01-2019

WildGoblin Ru-Board Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KLASS Цитата: Передернул, прекрасно понимая о чем я говорил. А ты не передёрнул? Цитата: Ты же видел ссылки в шапке.   Нет, у меня от шапки глаза кровоточат, но в шапки я пока не хочу... Цитата: Но ничего не пояснил, вывалив код Ну оно типа обрезает днс-запросы и не позволяет норнмально фунциклировать днс-туннелю.   Us2002 Цитата: роутера? =) система-то зачем зы, ну от системы оно конечно кошернее, но как вариант - роутер Нет, я про ОС говорил, но можно и через роутер (наверняка клиенты есть и можно через entware поставить).   Oleg_II Цитата: Но вот в обычной жизни как-то это ускорение не заметно. В браузерах сейчас встроенно кэширование днс... ну и там миллисекунда, да сям и в итоге тормоза. Цитата: Если я в системе Администратор... Прям вот совсем-совсем администратор (UAC отключен?)?   KLASS А Directory Opus да - днс-туннель поднимает, гадёнышь! )) Всего записей: 33316 | Зарегистр. 15-09-2001 | Отправлено: 12:58 11-01-2019

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору WildGoblin Цитата: UAC отключен? Хм... А надо? Отключим   Us2002 Цитата: прикинь, не тока у тебя, а у всех у кого х64 До этого не сталкивался с 64-битными системами. Ладно, методом тыка Всего записей: 2882 | Зарегистр. 30-09-2002 | Отправлено: 13:21 11-01-2019

WildGoblin Ru-Board Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KLASS http://forum.ru-board.com/topic.cgi?forum=2&topic=5493&start=2720#9 Ну куле... днс-клиент стопудова надо отключать ибо дырище (вернее всякие хитрожопы научились через него данные слать). (   Oleg_II Цитата: Хм... А надо? Отключим Нет. Всего записей: 33316 | Зарегистр. 15-09-2001 | Отправлено: 13:41 11-01-2019

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ну, вот, самый минимум, который получился. На этот "скелет" можно будет начать наращивать "мясо"   firewall.inf (требуется перезагрузка!) Код: [Version] Signature="$Windows NT$" ClassGUID={00000000-0000-0000-0000-000000000000} SetupClass=Base LayoutFile=layout.inf   [DefaultInstall] DelReg = delreg AddReg = addreg   ;================= ; WINDOWS DEFENDER FIREWALL RULES ;=================   [delreg]   ; Delete default WDF rules HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules"   [addreg]   ; Stop DNS Сlient service HKLM,"System\CurrentControlSet\Services\Dnscache","Start",0x00010001,4   ; Block Outbound connections for all profiles HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile","DefaultOutboundAction",0x00010001,1 HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile","DefaultOutboundAction",0x00010001,1 HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","DefaultOutboundAction",0x00010001,1   ; Core Networking HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","CoreNet-DHCP-In",,"v2.29|Action=Allow|Active=TRUE|Dir=In|Protocol=17|LPort=68|RPort=67|App=%11%\svchost.exe|Svc=dhcp|Name=@FirewallAPI.dll,-25301|Desc=@FirewallAPI.dll,-25303|EmbedCtxt=@FirewallAPI.dll,-25000|" HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","CoreNet-DHCP-Out",,"v2.29|Action=Allow|Active=TRUE|Dir=Out|Protocol=17|LPort=68|RPort=67|App=%11%\svchost.exe|Svc=dhcp|Name=@FirewallAPI.dll,-25302|Desc=@FirewallAPI.dll,-25303|EmbedCtxt=@FirewallAPI.dll,-25000|"   ; Internet Explorer in 'Program Files' and 'Program Files (x86)' HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","{6006BBD6-D1E7-46E3-B36F-4153F84470AE}",,"v2.28|Action=Allow|Active=TRUE|Dir=Out|Protocol=6|App=%16422%\internet explorer\iexplore.exe|Name=Internet Explorer x32 (TCP-Out)|" HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","{645EA2AE-712B-45A0-96C1-A92AA1347EC4}",,"v2.28|Action=Allow|Active=TRUE|Dir=Out|Protocol=17|RPort=53|App=%16422%\internet explorer\iexplore.exe|Name=Internet Explorer x32 (UDP-Out)|" HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","{14DF4A1D-B7B5-43B0-B9E3-C921631D406A}",,"v2.28|Action=Allow|Active=TRUE|Dir=Out|Protocol=6|App=%16426%\Internet Explorer\iexplore.exe|Name=Internet Explorer x86 (TCP-Out)|" HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules","{A1B790D8-43AC-4DBD-8CE1-7995129313BE}",,"v2.28|Action=Allow|Active=TRUE|Dir=Out|Protocol=17|RPort=53|App=%16426%\Internet Explorer\iexplore.exe|Name=Internet Explorer x86 (UDP-Out)|" Остановлена служба DNS Client. Включена блокировка Входящих и Исходящих соединений (для всех профилей WDF). Оставлены только два базовых правила (по одному на вход/выход) и четыре правила для Internet Explorer (по два правила для каждой версии из папок 'Program Files' и 'Program Files (x86)' - в Process Hacker в основном появляется версия из второй папки, но и из первой тоже иногда вылезает, оставил обе до выяснения главенства и в качестве примера для правил на программы из разных папок).   Добавлено: WildGoblin Цитата: Нет. Жаль... Всего записей: 2882 | Зарегистр. 30-09-2002 | Отправлено: 14:24 11-01-2019 | Исправлено: Oleg_II, 15:29 11-01-2019

shadow_member Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Входящие dhcp не нужны. Отключение UAC на десятке влечет другие системные проблемы. Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 14:30 11-01-2019

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Интересно, вот это - {14DF4A1D-B7B5-43B0-B9E3-C921631D406A} - система случайным образом генерирует? Вроде меняется каждый раз при создании нового правила для того же приложения.   Просто если это случайный набор, то можно было бы сделать "красиво"   Добавлено: shadow_member Цитата: Входящие dhcp не нужны. Хм... Мьсё знает толк в извращениях! (это выражение восторга и даже зависти   Делал по рекомендациям из шапки, но, в принципе, если работает, то почему бы и не убрать ещё одну строчку? Всего записей: 2882 | Зарегистр. 30-09-2002 | Отправлено: 14:31 11-01-2019

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Oleg_II Экспорт сделай правил и не надо думать про GUIDы Всего записей: 11539 | Зарегистр. 12-10-2001 | Отправлено: 14:34 11-01-2019

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KLASS У меня один большой общий файл с твиками по всем уголкам системы, это будет только его часть. Всегда удобнее запускать "из одного места"   Не говоря уже о том, что я вижу, что и где там делается (чувствую себя настоящим Администратором, хотя ещё пока и при работающем UAC Всего записей: 2882 | Зарегистр. 30-09-2002 | Отправлено: 14:38 11-01-2019

Oleg_II Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Us2002 Цитата: иногда очень нужны =) Вот я тоже думаю, что надо будет сюда ещё что-то добавлять - столько там правил на вайфай было, берут меня сомнения, что на ноутбуке только с таким барэ-бон он не взлетит   Да, вроде ещё рекомендовали ping включить. Может ещё что-то надо будет вернуть. Всего записей: 2882 | Зарегистр. 30-09-2002 | Отправлено: 14:48 11-01-2019

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование