Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Из описания темы видно, что речь пойдет о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии,
    вся "борьба" с которой сводится к отключению\перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик), но оставив это правило DNS помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд. Потому для верности, создавайте правила DNS для каждой программы из белого списка (разрешить UDP исходящее соединение, удаленный порт 53), а правило Основы сетей - DNS (UDP - исходящий трафик) предпочтительно тоже отключить. Отключив правило, обязательно отключите службу DNS-клиент
    Все, Интернета - нет, как и нет любых других соединений (кроме DHCP), включая телеметрию. Чтобы убедиться в этом используйте Wireshark.
    После такой настройки, обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 и рекомендации по обновлению Windows 7 SP1
    История кумулятивных обновлений для разных версий Windows 10
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. По другому, будем создавать белый список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того, чтобы быстро разобраться какой программе, что нужно открыть в брандмауэре, можно использовать приложение Process Hacker с надстройками.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10 версии не ниже 1607 Сборка 14393.
    Сборка Process Hacker x64 от ItsJustMe для Windows 10 версии не ниже 1809 Сборка 17763.107. Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" (на Windows 7 не работает, используйте набор NetworkTrafficView_russian) и
    запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим к каким портам,
    удаленным адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
     
  • Как добавлять или изменять правила используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, при помощи которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавление в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, т.к. правила от M$ могут быть восстановлены при очередном обновлении
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в системном трее на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws,
    без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 7662 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 08:30 09-01-2019
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Us2002
Включаем аудит папки и приязываем к нему скрипт. Все упирается в мастерство написания скриптов) Принципиально-то все достижимо

Всего записей: 174 | Зарегистр. 25-02-2012 | Отправлено: 18:23 02-03-2019
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
аудит всех папок включен, лог пишется, на любой чих запуск скрипта по событию? да не проще ли гвоздями прибить необходимые рулсы для разрешенного софта???
 
Добавлено:
хотя для противоположной задачи (разрешение всех исходящих из папки тест с подпапками) согласен с таким методом

Всего записей: 1692 | Зарегистр. 03-02-2005 | Отправлено: 20:07 02-03-2019
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
кажется, натолкнулся на  индусскую безолаберность) В смд не проходят эти команды для следующих неймов и групп (у всех так?):
 
netsh advfirewall firewall set rule name="Только для драйвера WFD (TCP - входящий трафик)" new enable=No
netsh advfirewall firewall set rule name="Только для драйвера WFD (TCP - исходящий трафик)" new enable=No
netsh advfirewall firewall set rule name="Только для драйвера WFD (UDP - входящий трафик)" new enable=No
netsh advfirewall firewall set rule name="Только для драйвера WFD (UDP - исходящий трафик)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, HTTP - входящий)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, RTCP - входящий)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, RTCP - входящий)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, RTP - исходящий)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, RTP - исходящий)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, RTSP - входящий)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, RTSP - входящий)" new enable=No
netsh advfirewall firewall set rule group="Служба беспроводных сетей - правила для работающих в режиме ядра драйверов служб WFD" new enable=No
netsh advfirewall firewall set rule group="Функция "Передать на устройство"" new enable=No

Всего записей: 174 | Зарегистр. 25-02-2012 | Отправлено: 19:47 07-03-2019
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Продолжаю разбирать глюкодром.
Есть портабильная софтина, которая создает папки с имнем переменных - например c:\portable\%appdata%\proga.exe. И никаким способом нельзя ее выпустить в инет по имени. Аппдата всегда раскрывается в полный путь. А с именем вроде %%appdata%% правило добавляться не хочет.
Хреновая работа, MS...

Всего записей: 174 | Зарегистр. 25-02-2012 | Отправлено: 13:56 10-03-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Я не знаю, поможет ли тебе это
 

Всего записей: 16964 | Зарегистр. 18-07-2006 | Отправлено: 21:45 10-03-2019
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Ну это понятно, что аппдата у систем своя. Я про то что они не предусмотрели экранирование, ведь я аппдату не хотел не свою, ни системную.  
По итогу набросал скриптец который мне джункшинами раскидал проблемные папки. Ну вроде все настроил... Ну все, думаю супер-пупер защита готова. Запустил стим - и.... сразу плюс 100500 левых правил во входящих... и так каждый раз. Запускаешь стим под елеватед юзер через дропмайрайтс или псекзек - ругается и крашится. Короче хз как жить с вашим брендмауэром. По идее надо думать и выосить в шапку выносить варианты как блочить правила штатными средствами, ибо все эти перезаливки при перезагрузках- это херня. Фаеровол должен защищать во время работы, а не в момент старта винды.

Всего записей: 174 | Зарегистр. 25-02-2012 | Отправлено: 22:34 10-03-2019
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
так он и защищает во время работы, особенно если запреты на вход/выход поставить (белым списком),
т.е. что-бы пользователь (с ограниченными правами) сам ни добавил у себя в песочнице
(а на другие {системные} директории у него нет прав) - в сеть не пролезет без ведома админа.
 
если нужно наоборот - разрешить всяким проходимцам делать
у себя в песочницах всё что вздумается в определённых границах
то вариантов тоже хватает, например можно решать через порты/протоколы а не путями.
а все файлы можно и так принудительно сканировать/удалять при создании/скачивании.

Всего записей: 680 | Зарегистр. 10-11-2005 | Отправлено: 02:27 11-03-2019
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В случае с уже установленным софтом, имеющим свою службу - урезание прав безполезно.  
И в случае установки софта - когда ты должен дать права - надеятся на бренд нет смысла, только вырубать сеть. Да, эти сценарии - не доверять установленному или устанавливаемому софту, в энтерпрайз вобще не встречаются, так что даже нет смысла об этом.
По-любому есть какая то ветка реестра, где правила хранятся, которую на чтение можно поставить... Кто-то пробовал уже?

Всего записей: 174 | Зарегистр. 25-02-2012 | Отправлено: 06:29 11-03-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Цитата:
В случае с уже установленным софтом, имеющим свою службу - урезание прав безполезно  
-полезно.
Правила брандмауэра в этой ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy
Заманипулируй права так, что ни одна б... не добавит, не удалит. Или используй Binisoft WFC v5.3.1.0, он как раз так работает. Да и в его теме много полезного.
А вот "только на чтение" - не поможет, недостаточно. Квинтэссенция из всего сказанного - решение есть, и давно.

Всего записей: 16964 | Зарегистр. 18-07-2006 | Отправлено: 09:25 11-03-2019
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member, сенк
Такая полезная инфа про реестр и не в шапке! Поди bini то и не нужен для такой простой задачки, subinacl-а должно хватить

Всего записей: 174 | Зарегистр. 25-02-2012 | Отправлено: 16:26 11-03-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Ну, как доведешь дело до конца, поделись.

Всего записей: 16964 | Зарегистр. 18-07-2006 | Отправлено: 16:58 11-03-2019
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member, лови дружище. Екзешник subinacl ложите вместе с батником рядом. Ну тут все просто. если закрыть смд после первой паузы - останется блокировка. Если брякнуть эникей то можно заносить рулзы. Естественно сохраняете в 866 кодировке, ну думаю все в теме
На стиме проверил - пашет блокировочка
 
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /setowner=Администраторы
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /grant=Администраторы=f
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /grant=Все=R
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /deny=Все=S
cls & color 4 & echo. FW changes is BLOCKED. Press anykey for ALLOW... & pause>null
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /setowner=Администраторы
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /grant=Администраторы=f
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /grant=Все=C
cls & color 2 & echo. FW changes is ALLOWED... & pause>null

Всего записей: 174 | Зарегистр. 25-02-2012 | Отправлено: 17:51 11-03-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Спасибо! Впервые идея блокирования ветки с правилами была опубликована на форуме где-то в начале 2018, ник мембера, увы, не вспомнить. Помнится, там ветка реестра казалась просто пустой.  
Но идея прижилась, была реализована в WFC v5.1.0.0...v5.3.1.0 и вот тобою.
 
Добавлено:
Да, работает, первоначально сам ошибку внес.

Всего записей: 16964 | Зарегистр. 18-07-2006 | Отправлено: 18:14 11-03-2019 | Исправлено: shadow_member, 22:46 11-03-2019
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
у меня норм. Пытаюсь удалять в реестре любую запись - ошибка "не удается удалить все выделеные параметры".
 
Не могу предположить даже что у вас. Может раствикано что...

Всего записей: 174 | Зарегистр. 25-02-2012 | Отправлено: 20:31 11-03-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Del

Всего записей: 16964 | Зарегистр. 18-07-2006 | Отправлено: 21:29 11-03-2019 | Исправлено: shadow_member, 22:45 11-03-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Пытаюсь удалять в реестре любую запись - ошибка "не удается удалить все выделеные параметры".  

Для сведений. Если после запрета в реестре сделать импорт правил командой netsh,
можно снова удалять параметры в реестре или отключать\включать\удалять\добавлять правила в брандмауэре:
netsh advfirewall import "Путь\имя_файла_политики_брандмауэра.wfw"

Всего записей: 7662 | Зарегистр. 12-10-2001 | Отправлено: 22:22 19-03-2019
dnyws

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Очень интересно и насколько эффективна против телеметрии такая настройка?

Всего записей: 10 | Зарегистр. 15-03-2019 | Отправлено: 14:54 23-03-2019
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В мозгу забрезжила идея. А почему бы при имеющейся жесткой настроке брэндамауэра не организовать офлай установку обнов автоматом? Смотрите, скриптом создается задание bits, выкачивается обнова, далее рубится сеть, потом wusa /install, потом вишенкой на тотре cleanmgr с подчисткой обнов и выключение пекарни. Но есть один вопрос - есть ли способы вычисления прямого URL-a для кумулятива?

Всего записей: 174 | Зарегистр. 25-02-2012 | Отправлено: 22:59 23-03-2019
Gideon Vi

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
 
можно брать здесь, но фай крупный https://go.microsoft.com/fwlink/?LinkID=74689
 
можно парсить эту страницу https://www.catalog.update.microsoft.com/Search.aspx?q=Windows%2010%20x64

----------
Firefox. Вопросы?

Всего записей: 7052 | Зарегистр. 02-02-2004 | Отправлено: 04:06 25-03-2019
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru