Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Из описания темы видно, что речь пойдет о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии,
    вся "борьба" с которой сводится к отключению\перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик), но оставив это правило DNS помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Потому для верности, создавайте правила DNS для каждой программы из белого списка, а правило Основы сетей - DNS (UDP - исходящий трафик) предпочтительно тоже отключить.
    Отключив правило, обязательно отключите службу DNS-клиент
    Все, Интернета - нет, как и нет любых других соединений (кроме DHCP), включая телеметрию. Чтобы убедиться в этом используйте Wireshark.
    После такой настройки, обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра.
    Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 и рекомендации по обновлению Windows 7 SP1
    История кумулятивных обновлений для разных версий Windows 10
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. По другому, будем создавать белый список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того, чтобы быстро разобраться какой программе, что нужно открыть в брандмауэре, можно использовать приложение Process Hacker с надстройками.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10 версии не ниже 1607 Сборка 14393.
    Сборка Process Hacker x64 от ItsJustMe для Windows 10 версии не ниже 1809 Сборка 17763.107. Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" (на Windows 7 не работает, используйте набор NetworkTrafficView_russian) и
    запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим к каким портам,
    удаленным адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
     
  • Как добавлять или изменять правила используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, при помощи которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавление в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, т.к. правила от M$ могут быть восстановлены при очередном обновлении
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в системном трее на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws,
    без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 7509 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 09:32 27-11-2018
PTITZA



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Надоело, снёс, переустанавливаю заново.  
Поленился бэкапы делать перед каждым шагом, думал всё проще будет

Всего записей: 776 | Зарегистр. 03-01-2010 | Отправлено: 20:09 21-11-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PTITZA
Полностью настройку брандмауэра в студию и тогда народ быстро подскажет.
Не фразой, как в шапке, но подробно.
В шапке же оно по разному можно, например, отключать ли DNS?
Вот свои настройки под more, кому интересно выскажутся.
А бекап не поможет, поможет быстрая настройка выни, пользы больше для понимания

Всего записей: 7509 | Зарегистр. 12-10-2001 | Отправлено: 20:36 21-11-2018
PTITZA



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
KLASS
Как-то так
 
Подробнее...
 
Ничего стороннего ещё не установлено, даже не активирована.
Windows 10 Ent N LTSC 1809

Всего записей: 776 | Зарегистр. 03-01-2010 | Отправлено: 20:55 21-11-2018 | Исправлено: PTITZA, 21:21 21-11-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PTITZA

Цитата:
Вроде, завелся. Только большая половина htpps сайтов не открывается теперь  

так что на другом прове, если твой браузер таки ходил докудато?

Всего записей: 1517 | Зарегистр. 03-02-2005 | Отправлено: 21:10 21-11-2018
PTITZA



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Us2002
Не откывались googl, yandex, еще какие-то https, ру-борд нормально, поиск bing
Us2002 - пост
Цитата:
на другом прове

Что за пров ? Не понимаю сленга

Всего записей: 776 | Зарегистр. 03-01-2010 | Отправлено: 21:13 21-11-2018 | Исправлено: PTITZA, 21:15 21-11-2018
fakel33



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PTITZA
Для браузера (Firefox, Opera, Chrome ...) нужно создать правила
1. TCP исходящие, уд.порты =80,443,1080,182,8080,3128,8088 - разрешить
2. UDP исходящие, уд.порт=53 - разрешить

Всего записей: 877 | Зарегистр. 22-08-2003 | Отправлено: 22:23 21-11-2018 | Исправлено: fakel33, 22:24 21-11-2018
PTITZA



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
fakel33
Так я все разрешил, не то? Надо конкретно эти?

Всего записей: 776 | Зарегистр. 03-01-2010 | Отправлено: 22:29 21-11-2018
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fakel33
По умолчанию ВСЕ исходящие разрешены (для любой программы), если конечно не изменено какой-то политикой.
Обычно требуется настройка только для входящих

del , т.к отвечал на один пост, а их оказывается вторая страница, так что в контексте - не актуально
 
 
PTITZA
для разных протоколов - (http / https ...) разные порты,
хотя можно и на конкретную программу/сервис сначала разрешить, а потом уже к ней (для точности) порты подбирать.
п.с. переустанавливать систему (?) не обязательно (если только не подозреваешь заражение)
можно сбросить FireWall настройки на "по умолчанию" - все твои изменения исчезнут и восстановится что было (или что там в Win прописано)

Всего записей: 671 | Зарегистр. 10-11-2005 | Отправлено: 22:29 21-11-2018 | Исправлено: vikkiv, 22:51 21-11-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PTITZA
https://ru.wikipedia.org/wiki/HTTPS
HTTP/TLS запросы генерируются путём разыменования URI, в следствие чего имя хоста становится известно клиенту. В начале общения, сервер посылает клиенту свой сертификат, чтобы клиент идентифицировал его. Это позволяет предотвратить атаку человек посередине. В сертификате указывается URI сервера. Согласование имени хоста и данных, указанных в сертификате, происходит в соответствии с протоколом RFC2459[13].
 
Если имя сервера не совпадает с указанным в сертификате, то пользовательские программы, например браузеры, сообщают об этом пользователю. В основном, браузеры предоставляют пользователю выбор: продолжить незащищённое соединение или прервать его.[14]  
пров косячит, или потсонам в фуражках заняться нечем.. поинтересуйся официально у фтарых, чем ты им насолил.. мож они не при делах, и сразу займутся первыми, а мож таки оне в курсе, и твоё обращение послужит им волшебным пендюлем по совести и инет у тя волшебным образом выздоровеед =)
 зы, надеюсь у тебя вынь активирована

Всего записей: 1517 | Зарегистр. 03-02-2005 | Отправлено: 23:01 21-11-2018 | Исправлено: Us2002, 23:07 21-11-2018
PTITZA



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Us2002
На другой системе доступ ко всем ресурсам свободный.

Всего записей: 776 | Зарегистр. 03-01-2010 | Отправлено: 23:07 21-11-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PTITZA
Process Hacker показывает для браузера закрытые соединения какие нить?

Всего записей: 7509 | Зарегистр. 12-10-2001 | Отправлено: 08:41 22-11-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PTITZA
http://forum.ru-board.com/topic.cgi?forum=5&topic=37044&start=780#13

Всего записей: 16196 | Зарегистр. 18-07-2006 | Отправлено: 09:06 22-11-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приложениям, отмеченным птичками слева, разрешен выход в сеть в соответствии с птичками справа, правильно?
А если на эти приложения существуют индивидуальные правила брандмауэра?

Всего записей: 16196 | Зарегистр. 18-07-2006 | Отправлено: 14:11 26-11-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member

Цитата:
Приложениям, отмеченным птичками слева

Это разрешенные входящие подключения.

Всего записей: 7509 | Зарегистр. 12-10-2001 | Отправлено: 15:45 26-11-2018 | Исправлено: KLASS, 15:49 26-11-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды



Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru