Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила MS, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила MS, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте программу Wireshark.
    Вопросы по работе программы Wireshark там.
    После такой настройки обновления системы и антивируса Microsoft Defender автоматически устанавливаться не будут. Последующие обновления устанавливайте ручками.
    Здесь берем свежие базы антивируса Microsoft Defender.
    Кумулятивные обновления для системы берем в Каталоге Центра обновления Майкрософт.
    Журнал обновлений разных версий Windows 10.
    Журнал обновлений разных версий Windows 11.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker (ныне System Informer).
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (ныне System Informer) (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от MS могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть программа Windows Firewall Control, все вопросы по ней в той теме и обсуждайте.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Еще одна программа для удобства создания правил Firewall App Blocker | FAB.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем там

Всего записей: 11753 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 19:24 22-07-2025
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Caravelli
Смотря кто коннект инициирует, в P2P архитектуре например чтобы достучаться до серверного Remote Desktop (и мн. др. сервисов) - без входящих правил не обойтись..
Если-же локальное приложение постоянно общается с сервером (pull) то необязательно, т.к. оно всю необходимую информацию может получить само определяя (что нужно, по собственно данным с сервера) и запрашивая нужное от туда (удалённый клиент соответственно ложит данные на сервер используя его как буфер).
 
Death_INN
Ну ещё тот вопрос, сам трафик необязательно есть, несмотря на попытки куда-то подключаться.
Точно-ли всё настроено на True и Block по умолчанию?
PowerShell через admin:

Код:
Get-NetFirewallProfile|select Name,Enabled,DefaultInboundAction,DefaultOutboundAction|ft

или из cmd:

Код:
powershell "Get-NetFirewallProfile|select Name,Enabled,DefaultInboundAction,DefaultOutboundAction|ft"


Всего записей: 748 | Зарегистр. 10-11-2005 | Отправлено: 14:47 23-11-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Р2р это же классика. Например два компа, входящие разрешены/нет:

Код:
Есть <> Есть - кто угодно к кому угодно может подключиться и легко качать/раздавать
Есть < Нет  - подключение будет  и можно качать/раздавать
Нет > Есть - аналогично
Нет - Нет - такие люди не могут подключиться друг к другу

Т.е. если у вас нет открытого порта, то вы теряете часть пользователей, с которыми можно соединиться. Как скачивать, так и раздавать,неважно.

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 14:58 23-11-2020 | Исправлено: KiloSub, 15:02 23-11-2020
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv
Благодарю за ответ.
Как-то не придавал значения по входящим правилам, пока не увидел вопрос от blizard.
А вот, например, браузер. Если я даю запрет на входящие по TCP для браузера, при прочих разрешениях на исходящие, то всё-равно всё работает.
Что-то я упустил из виду. Почему не работает запрещающее правило?

Всего записей: 2437 | Зарегистр. 01-12-2009 | Отправлено: 20:05 23-11-2020
blizard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Caravelli
TCP

Всего записей: 85 | Зарегистр. 19-02-2018 | Отправлено: 20:22 23-11-2020 | Исправлено: blizard, 20:24 23-11-2020
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Caravelli
Зачем специально давать запрет на входящие для браузера если там по идее
и так стоит всё в Block по умолчанию вне зависимости от программы (которых сотни),
т.е. там запрещено всё кроме того что разрешено (отдельными входящими правилами)
 
для входящих (с настр. FireWall по умолчанию) какие-то отдельные усилия
(если не предприняты до этого) нужны только для разрешения, а не для блокировки.
 
Собственно отв. на вопрос: входящие нужны если соединение инициируется внешним устройством
(пробивающимся на твой ПК к какому-то слушающему сервису),
а не внутренней программой (для которой в таком случае нужны исходящие)
 
Классический браузер будет прекрасно работать на только одном исходящем
(или на двух если есть более тонкая кофигурация отдельно для TCP с 80/443 и UDP:53 для своего DNS {или 5353:mDNS})

Всего записей: 748 | Зарегистр. 10-11-2005 | Отправлено: 21:46 23-11-2020
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv
blizard на картинке изобразил, так сказать, систему «трёх рукопожатий» для TCP/как щас помню handshake в модемном соединении/
Я предположил, что специально создавая блокирующее правило, я могу вмешаться в прием от сервера SYN/ACK-пакета.
А так как брандмауэр не пакетный фаер, то ничего и не будет.
 
Добавлено:

Цитата:
Собственно отв. на вопрос: входящие нужны если соединение инициируется внешним устройством (пробивающимся на твой ПК к какому-то слушающему сервису),
Гугел тоже самое говорит

Всего записей: 2437 | Зарегистр. 01-12-2009 | Отправлено: 18:55 24-11-2020 | Исправлено: Caravelli, 18:55 24-11-2020
Death_INN

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv

Цитата:
Классический браузер будет прекрасно работать на только одном исходящем

Потому что входящие от браузера есть часть исходящих, как запрос-ответ в одном флаконе

Всего записей: 3985 | Зарегистр. 24-10-2002 | Отправлено: 22:36 24-11-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сейчас занимаюсь автоустановкой win, может кто подскажет, есть такая команда в cmd, чтобы махом удалить все правила брандмауэра?

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 14:23 04-12-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KiloSub
Голые правила зачем нужны?
Если брандмауэр отключаете, то и отключайте, если настраиваете-то и настраивайте.
Есть команда экспорта\импорта, а там делай чего хочу.

Всего записей: 11753 | Зарегистр. 12-10-2001 | Отправлено: 16:07 04-12-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS у Вас же в шапке:

Цитата:
Отключаем или удаляем все входящие правила M$...
Отключаем или удаляем все исходящие правила M$...

вот я и хочу удалить, а

Цитата:
а там делай чего хочу


Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 16:42 04-12-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KiloSub
Сначала настройте брандмауэр, сделайте экспорт правил, а после, при "автоустановке" (ваши слова), делайте импорт готовых правил. Либо конечную цель опишите, сразу и подробно.

Всего записей: 11753 | Зарегистр. 12-10-2001 | Отправлено: 16:46 04-12-2020
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KiloSub
если самое простое то для блокировки через PowerShell под админом можно так сделать
Код:
$error.Clear()
netsh advfirewall export ("c:\my_firewall_policy_backup_"+(get-date).toString("yyyy-MM-dd-mm-ss")+".wfw")
if($error.Count -eq 0){foreach($p in Get-NetFirewallProfile){Set-NetFirewallProfile -Enabled True -DefaultInboundAction Block -DefaultOutboundAction Block}}
if($error.Count -eq 0){foreach($r in (Get-NetFirewallRule|select Name)){$r;Set-NetFirewallRule -Name ($r.Name) -Action Block}}
по желанию можно дописать "-Enabled True" перед последними }}
 
но если именно как спрашиваешь, т.е. удаление безвозвратно без сохранения и для уверенности убедиться что собственно FireWall включен то так:
Код:
Remove-NetFirewallRule
foreach($p in Get-NetFirewallProfile)
{Set-NetFirewallProfile -Name ($p.Name) -Enabled True -DefaultInboundAction Block -DefaultOutboundAction Block}

Фактически твоя задача ограничена строчкой "Remove-NetFirewallRule"
Только вот современная Windows имеет свойство правила при обновлениях сама без спроса настраивать.

Всего записей: 748 | Зарегистр. 10-11-2005 | Отправлено: 21:28 04-12-2020 | Исправлено: vikkiv, 21:34 04-12-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Remove-NetFirewallRule

vikkiv, Yes, it works!
Думаю, что лучше: до установки системы очистить HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules или уже при установке выполнить команду, или это одно и то же. Попробую, спасибо.

Цитата:
Только вот современная Windows имеет свойство правила при обновлениях сама без спроса настраивать.

Это я заметил - там вообще анархия. Все что угодно при наличии прав туда свои правила кидают.
 

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 06:42 05-12-2020 | Исправлено: KiloSub, 06:57 05-12-2020
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KiloSub
Ну тогда уж повсюду, как минимум из первой:
 
HKLM\SYSTEM\CurrentControlSet\Services\..
1)..SharedAccess\Defaults\FirewallPolicy\FirewallRules
2)..SharedAccess\Parameters\FirewallPolicy\FirewallRules
3)..SharedAccess\Parameters\FirewallPolicy\RestrictedServices\AppIso\FirewallRules
4)..SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System
5)..SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System
 
Команда Remove-NetFirewallRule чистит только из второй ветки
 
Чистка первой ветки обеспечит отсувствие видимых правил при "Restore Default Policy" (иначе восстановится всё на начальные)
 
ну и системные из RestrictedServices на всякий случай (3~5)
 
если делался ручной backup перед экспериментами (на виртуалке естественно) - то он восстановит только 2й и не восстановит 1,3,4,5
 
очистка клонов из ControlSet001 не совсем имеет смысл т.к. это всего-лишь backup от последней успешной загрузки
 
хотя ИМО - наверное прилететь всё равно может откуда-нибудь даже без update-ов,
sys-restore или где у них там хранятся минимальные системные конфигурации для случаев серьёзных сбоев операционки.
 
Добавлено:
Что-то типа такого на PowerShell:
Код:
[Array]$k=@(
"HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules",
"HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules",
"HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\AppIso\FirewallRules",
"HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System",
"HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System")
foreach($x in $k){Clear-Item -Path $x}
Естественно Backup нужных веток сначала

Всего записей: 748 | Зарегистр. 10-11-2005 | Отправлено: 07:47 05-12-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv

Цитата:
очистка клонов из ControlSet001

В образе системы (install.wim) только эта ветка и есть и из нее и клонится потом CurrentControlSet.
 

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 08:06 05-12-2020 | Исправлено: KiloSub, 08:51 05-12-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KiloSub
После такой чистки реестра в install.wim, после установки системы видим
через некоторое время уже

Есть два других варианта:
1. При Unattended установке выполнить батник, который импортирует нужные вам правила в брандмауэр и запретит запись в раздел для всех
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
В шапке есть.
2. Пробовать прикрутить в install.wim задание в планировщик, которое и будет выполнять от имени СИСТЕМА, указанный в пункте 1 батник.

Всего записей: 11753 | Зарегистр. 12-10-2001 | Отправлено: 10:22 05-12-2020 | Исправлено: KLASS, 10:28 05-12-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS, спасибо, я так и предполагал, что правила по мере работы сразу накидываются. А есть проверенная ссылка на subinacl? А то в шапке сказано, что не поддерживается.

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 10:54 05-12-2020 | Исправлено: KiloSub, 10:56 05-12-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Еще есть третий вариант, сам не пробовал. Поиграться с настройкой брандмауэра через локальную политику безопасности (secpol.msc)

Раздел в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall
И вот это уже вкручивать в install.wim.
Настройка брандмауэра через secpol.msc имеет приоритет над настройкой
брандмауэра через "Монитор брандмауэра Защитника Windows в режиме повышенной безопасности",
оснастка которого запускается из меню Пуск => Средства администрирования.
После установки системы смотреть, будут ли изменяться правила в локальной политике безопасности после обновления системы.
Думаю, что не будут.
subinacl.exe
Size  : 290 304 Bytes
CRC32 : 90B58A75
MD5   : 53cdbb093b0aee9fd6cf1cbd25a95077
SHA1  : 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
 
Добавлено:
PS. Добавил данные по subinacl.exe в шапку.

Всего записей: 11753 | Зарегистр. 12-10-2001 | Отправлено: 12:21 05-12-2020 | Исправлено: KLASS, 12:42 05-12-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вроде бы получилось заблокировать, экспериментирую еще с прогой superUser64.exe. По крайней мере правила изменить не могу.

Код:
superUser64.exe /w /c subinacl.exe /subkeyreg HKEY_LOCAL_MACHINE\...

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 13:23 05-12-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Исходящие разрешены. Если на этапе установки удаляю правила и блокирую ключ реестра, то потом если обновлять приложения Магазина, у них у всех возникают ошибки, видимо потому, что все они пытаются создать правила, и трындец. Даже Магазин не запускается до тех пор, пока не вернешь возможность записи в реестр.
 
А в целом работает нормально.

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 17:05 05-12-2020 | Исправлено: KiloSub, 17:08 05-12-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru