Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила MS, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила MS, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте программу Wireshark.
    Вопросы по работе программы Wireshark там.
    После такой настройки обновления системы и антивируса Microsoft Defender автоматически устанавливаться не будут. Последующие обновления устанавливайте ручками.
    Здесь берем свежие базы антивируса Microsoft Defender.
    Кумулятивные обновления для системы берем в Каталоге Центра обновления Майкрософт.
    Журнал обновлений разных версий Windows 10.
    Журнал обновлений разных версий Windows 11.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker (ныне System Informer).
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (ныне System Informer) (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от MS могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть программа Windows Firewall Control, все вопросы по ней в той теме и обсуждайте.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Еще одна программа для удобства создания правил Firewall App Blocker | FAB.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем там

Всего записей: 11754 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 19:24 22-07-2025
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
chq
Ну ты же не каждый день обновления проверяешь, так что можно перетерпеть. Если без надстройки WFC, то понятно, что лезть в дебри брандмауэра неудобно, тогда создай батник на вкл-выкл, да и всего делов.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 16:02 07-05-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member

Цитата:
тогда создай батник на вкл-выкл, да и всего делов.

Какой тогда смысл вообще трогать брандмауэр? Если уж начали настраивать, то настраивать его надо по взрослому и контролировать любые соединения. Тему для того и открыли, чтобы юзер учился контролировать, а не вкл\выкл брандмауэр, если приспичило и он потерялся.

Всего записей: 11754 | Зарегистр. 12-10-2001 | Отправлено: 16:30 07-05-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Не брандмауэр вкл-выкл , а правило для svchost по портам 80, 443. Так даже САМ разработчик WFC делает
А так я всеми тремья руками за- не отключать брандмауэр и антивирус.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 17:10 07-05-2017
boi1eI

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Цитата:
Не брандмауэр вкл-выкл  , а правило для svchost по портам 80, 443. Так даже САМ разработчик WFC делает  
Так для чего это надо, может кто-то популярно объяснить? Не в духе "чтоб не ходил налево", а на конкретных примерах, что именно предотвращается этой блокировкой.

Всего записей: 1645 | Зарегистр. 02-10-2014 | Отправлено: 17:43 07-05-2017
masterlola

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sweepp

Всего записей: 86 | Зарегистр. 30-08-2015 | Отправлено: 19:25 07-05-2017 | Исправлено: masterlola, 17:26 10-05-2017
chq



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Батник создан #, просто так не интересно. А вот то, что для сервиса обновлений нельзя создать правило, со слов masterlola, мне совсем не по душе. Ладно, тогда уж с IP поиграюсь. Но Microsoft говорит:  
Если правилами организации запрещено, чтобы используемые веб-сайтом WSUS порты и протоколы были открыты для всех адресов, можно ограничить доступ к перечисленным ниже доменам, чтобы службы WSUS и служба автоматического обновления могли обмениваться данными с Центром обновления Майкрософт.
_ttp://windowsupdate.microsoft.com
_ttp://*.windowsupdate.microsoft.com
_ttps://*.windowsupdate.microsoft.com
_ttp://*.update.microsoft.com
_ttps://*.update.microsoft.com
_ttp://*.windowsupdate.com
_ttp://download.windowsupdate.com
_ttp://download.microsoft.com
_ttp://*.download.windowsupdate.com
_ttp://test.stats.update.microsoft.com
_ttp://ntservicepack.microsoft.com
Так что постает вопрос, не будут ли для региона адреса IP изменятся?  
 

Всего записей: 543 | Зарегистр. 03-08-2011 | Отправлено: 23:23 07-05-2017 | Исправлено: chq, 23:25 07-05-2017
masterlola

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sweepp

Всего записей: 86 | Зарегистр. 30-08-2015 | Отправлено: 01:23 08-05-2017 | Исправлено: masterlola, 17:24 10-05-2017
Gorkiy

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если у вас не работает функция синхронизации времени, запускаемая для обслуживания системы (Windows 10 ltsb) из 1_settings.bat, сделанный Westlife, то в правила брандмауэра добавьте правило:

Код:
netsh advfirewall firewall add rule name="Синх. врем a-settings.bat (ICMPv4 - исходящий трафик)" dir=out action=allow profile=public,private protocol=ICMPv4 remoteip=74.125.232.194-74.125.232.206


Всего записей: 12 | Зарегистр. 05-03-2017 | Отправлено: 16:32 08-05-2017 | Исправлено: Gorkiy, 16:45 08-05-2017
chq



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
masterlola
Перебрал ряд адресов, на которые идет обращение, просканировал и взял диапазоны, принадлежащие Microsoft, все равно толку ноль.

Всего записей: 543 | Зарегистр. 03-08-2011 | Отправлено: 20:28 09-05-2017 | Исправлено: chq, 22:40 09-05-2017
masterlola

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sweepp

Всего записей: 86 | Зарегистр. 30-08-2015 | Отправлено: 21:41 09-05-2017 | Исправлено: masterlola, 17:24 10-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
masterlola

Цитата:
Загрузите и запустите последнюю версию NetworkTrafficView.
Зачем оно тут? Есть же всем известный Tcpview и ещё over9000 прог позволяющих посмотреть что и куда ходит.

Всего записей: 34273 | Зарегистр. 15-09-2001 | Отправлено: 13:20 10-05-2017 | Исправлено: WildGoblin, 15:10 10-05-2017
Inoz2000



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NetworkTrafficView рекомендуется в шапке.
 
известныq — подобная опечатка частенько встречается на форуме. каково её происхождение?

----------
Мы все умрём. (-:

Всего записей: 5500 | Зарегистр. 23-04-2009 | Отправлено: 13:33 10-05-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
На вкус и цвет... по мне Хакер лучше кажет, входящие\исходящие, подсветка красным, что блокировано, если отключить "Обновлять автоматически", то в Хакере новые соединения продолжают поступать и отображаться, при этом, старые соединения не пропадают из окна, что удобно, когда тех соединений много и пользователь сидит и разбирается, что ему открыть, а что необязательно. Одна проблема в Хакере, то что низя скопировать удаленный адрес или хотя бы всю строку.
 
Добавлено:
Inoz2000

Цитата:
известныq

Клаву переключили на другой язык, ивестныq и пошло что-то на английском, например, Tcpview

Всего записей: 11754 | Зарегистр. 12-10-2001 | Отправлено: 13:49 10-05-2017
masterlola

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sweepp

Всего записей: 86 | Зарегистр. 30-08-2015 | Отправлено: 14:54 10-05-2017 | Исправлено: masterlola, 17:25 10-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Inoz2000

Цитата:
известныq — подобная опечатка частенько встречается на форуме. каково её происхождение?
Punto Switcher наверное - надо бы попробовать обновить.
 
KLASS

Цитата:
На вкус и цвет... по мне Хакер лучше кажет...
А я ведь и не спорил с этим, но тема-то про тонкую настройку win файервола, а не про сторонние утилиты.

Цитата:
Клаву переключили на другой язык, ивестныq и пошло что-то на английском, например, Tcpview
Нет - "Tcpview" я скопипастил (всё же пунта наверное глючит - у меня годовалой давности версия).
 
masterlola

Цитата:
Никто не говорит, что вы должны использовать NetworkTrafficView, поэтому я прошу прощения за ваши незваных ответы?
Не понял, что вы этим хотели сказать.

Цитата:
Если вы хотите быстро и легко добраться...
Быстро, легко и без стороннего софта добираемся вот так:

Код:
"C:\WINDOWS\System32\perfmon.exe" /res

Запускать с правами админа.

Всего записей: 34273 | Зарегистр. 15-09-2001 | Отправлено: 15:18 10-05-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
С помощью их легче настроить тот брандмауэр (чел показал как с помощью сторонней... а я пользуюсь другой и тоже здесь ранее говорил как), для того и в шапку занесли... или ты против юзания сторонней утилиты
Цитата:
Windоws Firewall Control
, которую сам сюда предложил?
 
Добавлено:
Скажем так:
Учиться пользоваться сторонними программами, разумеется, надо в профильных темах... Но!
Если обсуждаем настройку брандмауэра Windows и при этом используем сторонний софт, то вполне вероятно, что вопрос\ответ (по стороннему софту) всплывут и в этой теме, потому как имеют непосредственное отношение к сабжу. В профильных же темах сторонних программ, настройка Брандмауэра Windows есть оффтоп.
 
Добавлено:
Еще, если возникают вопросы по работе сторонних утилит-идем в профильную тему, если возникает вопрос по настройке брандмауэра Windows с помощью сторонних утилит-обсуждаем здесь. Мальчики-налево, девочки-направо

Всего записей: 11754 | Зарегистр. 12-10-2001 | Отправлено: 15:34 10-05-2017 | Исправлено: KLASS, 16:00 10-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
...или ты против юзания сторонней утилиты
Нет конечно.

Цитата:
...которую сам сюда предложил?
Не сюда - у неё своих целых две темы.

Цитата:
Еще, если возникают вопросы по работе сторонних утилит-идем в профильную тему, если возникает вопрос по настройке брандмауэра Windows с помощью сторонних утилит-обсуждаем здесь.
Логично!
 

Всего записей: 34273 | Зарегистр. 15-09-2001 | Отправлено: 16:29 10-05-2017
chq



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В каждой из перечисленных выше программ есть свои преимущества и недостатки.  
В Process Hacker, например, не хватает фильтра, PID процесса и паузы прокрутки экрана. Плюс ко всему, экспорт был бы кстати.  
NetworkTrafficView позволяет экспортировать, ну а дальше можно по PID для процеса вывести нужное как то так:  
find /i "1111" "%UserProfile%\Desktop\File.txt" > "%Userprofile%\Desktop\File2.txt"
где "1111" предполагаемый PID, или не по PID, не помню.  
Наверное так find /i "[" "%UserProfile%\Desktop\File.txt" > "%Userprofile%\Desktop\File2.txt"
Предварительно можно найти нужный PID как то так:  
tasklist /svc | find /i "wuauserv"
Как вариан, еще можно использовать netstat -a в связке с find.  
В общем спасибо за помощь, будут успехи, отпишу как и что получилось.

Всего записей: 543 | Зарегистр. 03-08-2011 | Отправлено: 17:36 10-05-2017 | Исправлено: chq, 17:38 10-05-2017
boi1eI

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
chq
Юзайте уже procmon тогда.

Всего записей: 1645 | Зарегистр. 02-10-2014 | Отправлено: 18:01 10-05-2017
chq



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
boi1eI
Уточню, это было сказано к плагину Firewall Monitor программы Process Hacker. Или я не понимаю тогда хода ваших мыслей.

Всего записей: 543 | Зарегистр. 03-08-2011 | Отправлено: 19:04 10-05-2017 | Исправлено: chq, 19:07 10-05-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru