Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила MS, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила MS, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте программу Wireshark.
    Вопросы по работе программы Wireshark там.
    После такой настройки обновления системы и антивируса Microsoft Defender автоматически устанавливаться не будут. Последующие обновления устанавливайте ручками.
    Здесь берем свежие базы антивируса Microsoft Defender.
    Кумулятивные обновления для системы берем в Каталоге Центра обновления Майкрософт.
    Журнал обновлений разных версий Windows 10.
    Журнал обновлений разных версий Windows 11.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker (ныне System Informer).
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (ныне System Informer) (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от MS могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть программа Windows Firewall Control, все вопросы по ней в той теме и обсуждайте.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Еще одна программа для удобства создания правил Firewall App Blocker | FAB.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем там

Всего записей: 11760 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 19:24 22-07-2025
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bummnash
Смотря, что подразумевается под "после настроек брандмауэра". Если настроили, как в шапке (т.е. отключили исходящие подключения), то обновление системы, включая антивирус, работать не будет.
Но никто не мешает обновлять антивирус Microsoft Defender ручками (добавил в шапку).

Всего записей: 11760 | Зарегистр. 12-10-2001 | Отправлено: 15:31 22-07-2025 | Исправлено: KLASS, 16:20 22-07-2025
Arcadaw

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В моей локальной сети один из компов засыпает по расписанию и потом я его бужу прогой WakeMeOnLan от Нирсофт с удаленного компа в локальной сети.
Не секрет, что в момент включения компа перед включением фаера, что-то успевает улететь наружу. И поэтому хотелось бы сделать, чтобы засыпающий комп отключал сеть или делал недоступной сетевую деятельность наружу. Но при этом, чтобы можно было разбудить его удаленно с помощью этой проги. Такое возможно? Или только одно придется выбрать?
 
Добавлено:
И конечно же, чтобы всё потом восстанавливалось (через задачу) после того, как разбудили этот компьютер.

Всего записей: 1639 | Зарегистр. 25-03-2004 | Отправлено: 08:09 04-10-2025 | Исправлено: Arcadaw, 08:20 04-10-2025
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Arcadaw

Цитата:
Не секрет, что в момент включения компа перед включением фаера, что-то успевает улететь наружу.

Вот с этого места поподробнее, пожалуйста.

Всего записей: 11760 | Зарегистр. 12-10-2001 | Отправлено: 10:09 04-10-2025
Arcadaw

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
 Вот с этого места поподробнее, пожалуйста.

По малваре видно, что активация успевает закинуть запрос, Kernel и еще какие-то проги. Уже не помню, давно было. Счас у меня сеть отключается и включается через 30 сек. после запуска компа и всех нужных служб.
Однако, речь не о том и я попросил бы вас ответить по существу вопроса. Пожалуйста!

Всего записей: 1639 | Зарегистр. 25-03-2004 | Отправлено: 10:24 04-10-2025
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Arcadaw
По существу отвечаю: нет слива при загрузке, когда брандмауэр настроен как в шапке.
Нет смысла заниматься тем, о чем вы просите, от слова совсем.

Всего записей: 11760 | Зарегистр. 12-10-2001 | Отправлено: 10:39 04-10-2025
Arcadaw

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
 Нет смысла заниматься тем, о чем вы просите, от слова совсем.

Хорошо. Счас установлю на тот комп Малваре фаер и покажу логи, где эти системные проги улетают куда-то. Хотя может улетают через 127.0.0... Но это тоже вроде нехорошо, особенно если включен тор или другие проги, которые требуют в сетевых настройках ip типа 127....

Всего записей: 1639 | Зарегистр. 25-03-2004 | Отправлено: 10:55 04-10-2025
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Arcadaw

Цитата:
Счас установлю на тот комп Малваре фаер

Не тратьте время. Сюда смотрите (это работает на более низком уровне, чем то, что озвучили вы), все вопросы по программе там же.

Всего записей: 11760 | Зарегистр. 12-10-2001 | Отправлено: 10:59 04-10-2025
Arcadaw

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
.




Совершенно не нужный пост. п. 2.8.2. главы VIII Соглашения по использованию

Всего записей: 1639 | Зарегистр. 25-03-2004 | Отправлено: 12:17 04-10-2025 | Исправлено: Arcadaw, 15:04 04-10-2025
Arcadaw

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
Не тратьте время.  

Я все же потратил время и вот что выявил. После каждой загрузки компа вот такие вот разрешенные соединения. И их 2-3 десятка.
Хотя виндофаер исх. и вх. соединения, не соответствующие правилам, запрещены.
В виндофаере нет разрешаюших правил для Аваста. Даже попробовал явно запретить. И ничего не помогло.
Как это исправить? Поэтому и пришлось отключать сетку с выключенеим компа и затем ее включать через 30 сек.  
https://www.upload.ee/image/18664436/_______________140_.png

Всего записей: 1639 | Зарегистр. 25-03-2004 | Отправлено: 15:35 04-10-2025
Death_INN

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В сабже запретил подключаться проге Internet Download Manager по адресам 169.61.27.132 и 169.61.27.133, однако если первый адрес успешно блочится, то второй нет и всегда красуется в разрешенных подключениях

Всего записей: 3987 | Зарегистр. 24-10-2002 | Отправлено: 15:45 04-10-2025
Arcadaw

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Death_INN

Цитата:
то второй нет и всегда красуется в разрешенных подключениях

Да, это никуда не годится. Поэтмоу я держу 2 фаера и отключаю сетку.

Всего записей: 1639 | Зарегистр. 25-03-2004 | Отправлено: 15:54 04-10-2025
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Arcadaw

Цитата:
Я все же потратил время и вот что выявил.

Выявил, используя что? Гляжу вы не осилили то, что я вам посоветовал.
И стирать пост выше не было смысла после преда от модера, другие не поймут за что выписали пред.
Death_INN

Цитата:
то второй нет и всегда красуется в разрешенных подключениях

Аналогично, что сказал оппоненту выше.

Всего записей: 11760 | Зарегистр. 12-10-2001 | Отправлено: 17:24 04-10-2025 | Исправлено: KLASS, 17:38 04-10-2025
tnodir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
В виндофаере нет разрешаюших правил для Аваста. Даже попробовал явно запретить. И ничего не помогло.
Как это исправить?

При загрузке системы до инициализации правил фаервола действуют другие правила "загрузки" (Boot Time Filters).
 
Некоторые фаерволы дают настроить эти правила "загрузки": напр. отключить доступ всем прогам.
 
Но Windows Firewall не даёт настроить и работает как описано здесь.

Всего записей: 715 | Зарегистр. 06-05-2019 | Отправлено: 07:25 06-10-2025
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Как это исправить? Поэтому и пришлось отключать сетку с выключенеим компа и затем ее включать через 30 сек.  

Удалить аваст и не будет исходящих. )
Если аваст (не юзал) может запускать себя до применения политики WF, то и будут (раз разработчик это всунул) исходящие, как не настраивай WF. Я то вам про чистую систему толковал.
Вот с чего начался разговор:

Цитата:
По малваре видно, что активация успевает закинуть запрос, Kernel и еще какие-то проги

Если нет прог типа аваст, то и нет никаких исходящих, ни активации ни еще чего и это видно при использовании Акулы. Вам надо вопросы на форуме аваст задать, если речь завели про стороннее ПО, которое умеет грузить себя до применения политики WF.

Всего записей: 11760 | Зарегистр. 12-10-2001 | Отправлено: 08:39 06-10-2025
Arcadaw

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
Я то вам про чистую систему толковал.  

У кого может стоять чистая система? Если и стоит, то только на виртуалке для экспериментов.
Так что чистую систему было бы желательно не учитывать в вашем ответе.
Wireshark я раньше пробовал. И кажется на виртуалке. Но это было для почти чистой системы. А мою существющую еще надо было засунуть на виртуалку и протестировать уже ее. А другого способа посмотреть логи винды в момент загрузки я не знаю.
На форуме Авас пошлют сюда, чобы грамотно настроил виндофаер.

Всего записей: 1639 | Зарегистр. 25-03-2004 | Отправлено: 08:50 06-10-2025
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Arcadaw

Цитата:
У кого может стоять чистая система?

Мы в разделе Microsoft Windows и обсуждаем ее родимую. А как там себя ведут разные Авасты, то в соответствующей теме.
У меня, например, кроме офиса в системе нет ничего от слова совсем, все портативное.

Цитата:
На форуме Авас пошлют сюда, чобы грамотно настроил виндофаер.

Не пошлют, если вопрос зададите верно: почему Аваст льет до применения политики WF.

Всего записей: 11760 | Зарегистр. 12-10-2001 | Отправлено: 09:02 06-10-2025 | Исправлено: KLASS, 09:02 06-10-2025
Dacor

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
у SEP даже галка спецовая есть - блокировать все пока не запустятся службы FW

Всего записей: 1694 | Зарегистр. 02-08-2007 | Отправлено: 15:54 06-10-2025
Mike321

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Подскажите, а как разрешить такой входящий шировещательный трафик?
 

 
 

Всего записей: 151 | Зарегистр. 06-02-2006 | Отправлено: 01:39 10-10-2025
tnodir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mike321
Надо запустить прогу, которая будет слушать на этом порту.

Всего записей: 715 | Зарегистр. 06-05-2019 | Отправлено: 05:01 10-10-2025
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru