Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Из описания темы видно, что речь пойдет о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии,
    вся "борьба" с которой сводится к отключению\перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик), но оставив это правило DNS помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Потому для верности, создавайте правила DNS для каждой программы из белого списка, а правило Основы сетей - DNS (UDP - исходящий трафик) предпочтительно тоже отключить.
    Отключив правило, обязательно отключите службу DNS-клиент
    Все, Интернета - нет, как и нет любых других соединений (кроме DHCP), включая телеметрию. Чтобы убедиться в этом используйте Wireshark.
    После такой настройки, обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра.
    Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 и рекомендации по обновлению Windows 7 SP1
    История кумулятивных обновлений для разных версий Windows 10
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. По другому, будем создавать белый список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того, чтобы быстро разобраться какой программе, что нужно открыть в брандмауэре, можно использовать приложение Process Hacker с надстройками.
    Текущая английская сборка от Victor_VG или ее локализованный вариант от KLASS для Windows 10 версии не ниже 1607 Build 14393.
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" (на Windows 7 не работает, используйте набор NetworkTrafficView_russian) и
    запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим к каким портам,
    удаленным адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
     
  • Как добавлять или изменять правила используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, при помощи которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавление в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, т.к. правила от M$ могут быть восстановлены при очередном обновлении
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в системном трее на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws,
    без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 7286 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 08:56 01-09-2018
Klisma

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Отказываюсь от писем Ru.Board на адрес omut@gmx.net




Подписка ваша тут
Удалить (забанить) аккаунт тут и письма не будут приходить.

Всего записей: 2 | Зарегистр. 05-05-2018 | Отправлено: 15:33 03-09-2018 | Исправлено: KLASS, 21:58 04-09-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member

Цитата:
Все локальные соединения разрешены, а на выход какой-либо программы в интернет потребуется разрешение.

но ничего ж не сможет помешать перенаправлять все локальные запросы туда куда захочет настроеный рутер или сервак в локалке, до которого как раз всё разрешено этим правилом
у vikkiv

Цитата:
отключи автомат и пропиши там не существующий Proxy - тогда подключение к любой странице умрёт.
 

позабористее

Всего записей: 1339 | Зарегистр. 03-02-2005 | Отправлено: 23:19 03-09-2018
4seasons



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Задача для брандмауэра несколько изменилась.
 
Теперь надо ему объяснить, что только одной программе можно выходить в инет и локальную сеть, а остальным нельзя.

Всего записей: 1151 | Зарегистр. 31-05-2009 | Отправлено: 01:25 04-09-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4seasons
Создать разрешающее правило для этой программы, она сможет выходить в интернет и лок. сеть. Для остальных программ правил нет, или есть запрещающие - это равнозначно, они не выйдут ни туда, ни туда.
Hint
Если программе нужно разрешить выход только в лок. сеть, при составлении разрешающего правила в поле "Удаленный IP" вписать LocalSubnet (чувствительно к регистру, без кавычек).
Цитата:
Источник: FAQ Binisoft WFC (= брандмауэр Windows).
P.S.
Официально источник не существует, это собранная мною для личного использования такая себе Knowledge Base Так что на уникальность и достоверность не претендую.

Всего записей: 15633 | Зарегистр. 18-07-2006 | Отправлено: 07:32 04-09-2018 | Исправлено: shadow_member, 07:33 04-09-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Если программе нужно разрешить выход только в лок. сеть
...
... выбираем "Локальная подсеть" из выпадающего списка...)

Всего записей: 7286 | Зарегистр. 12-10-2001 | Отправлено: 08:03 04-09-2018
4seasons



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Цитата:
Для остальных программ правил нет, или есть запрещающие - это равнозначно, они не выйдут ни туда, ни туда.

А как быть с тем, что, когда я приостанавливаю защиту КИС и брандмауэр при этом включается, я спокойно захожу на эту страницу и пишу ответ с портабельной Оперы?

Всего записей: 1151 | Зарегистр. 31-05-2009 | Отправлено: 13:21 04-09-2018 | Исправлено: 4seasons, 13:24 04-09-2018
oinvhi



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А как быть с тем

 
как минимум - настроить брендмауер в соответствии с рекомендациями в шапке и далее по теме
еще скажу - кис и wfw вместе не живут, как выше писал рутьте свои локалки-внешку роутером, как то так

Всего записей: 12 | Зарегистр. 06-09-2017 | Отправлено: 13:51 04-09-2018 | Исправлено: oinvhi, 13:52 04-09-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4seasons
1. Юзать что-то одно, а в связи с тем, что раздел по выни... кис в топку. Обсуждение кис тут
2. Смотреть, что включается в правилах местного брандмауэра, после того, как был отключен кис...
 2а. ...а включаются там (по-видимому, кис не юзаю) правила по умолчанию, где разрешены все исходящие... с вытекающими.

Всего записей: 7286 | Зарегистр. 12-10-2001 | Отправлено: 14:04 04-09-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4seasons
Цитата:
А как быть с тем, что, когда я...  
Парни выше меня правы. К тому же, начиная с Win10 v1709, определенные клики в интерфейсе брандмауэра Windows приводят к удалению всех пользовательских правил и замене их на умолчальные от Микрософт.
Источник - тот же.

Всего записей: 15633 | Зарегистр. 18-07-2006 | Отправлено: 15:47 04-09-2018
Valery_Sh



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По поводу "восклицательного знака на сети" подробно.
Там же про "лечение".

Всего записей: 1518 | Зарегистр. 30-06-2008 | Отправлено: 20:05 04-09-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Valery_Sh
Там чел немного попутал, сказав:

Цитата:
Если вас так раздражает восклицательный знак, то вообще отключите NCSI применив патч реестра NoNCSI.reg

От этого твика реестра восклицательный знак, как раз появится. При этом нет надобности залезать в реестр, все отключается в ГП.
Но интересно то (и я уже ранее говорил об этом), что восклицательный знак на сети есть показатель, что ваша вынь, после настройки брандмауэра и самой системы,
еще не лазила в сеть (при этом Инет работает) и это есть хорошо.
Вообще эта тема давно обсосана в блогах у Мелких, в том числе,
что делать, чтобы отключить активную проверку индикатора работоспособности сетевых подключений и избавиться от восклицательного знака.
Только надо ли оно (избавление), когда после запуска пары программ для работы в Инете (скажем, браузера и почты), тот восклицательный знак сам исчезнет... )

Всего записей: 7286 | Зарегистр. 12-10-2001 | Отправлено: 21:27 04-09-2018 | Исправлено: KLASS, 21:38 04-09-2018
Valery_Sh



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ага, значит с лечением пальцем в небо... ну, бывает.
 
Так-то, и на мой взгляд тоже, этот восклицательный знак совсем ни о чём, т.к. может выпрыгнуть  и во время нормальной работы без ограничений брандмауэрами и прочим.

Всего записей: 1518 | Зарегистр. 30-06-2008 | Отправлено: 12:27 05-09-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru