Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Из описания темы видно, что речь пойдет о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии,
    вся "борьба" с которой сводится к отключению\перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик), но оставив это правило DNS помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Потому для верности, создавайте правила DNS для каждой программы из белого списка, а правило Основы сетей - DNS (UDP - исходящий трафик) предпочтительно тоже отключить.
    Отключив правило, обязательно отключите службу DNS-клиент
    Все, Интернета - нет, как и нет любых других соединений (кроме DHCP), включая телеметрию. Чтобы убедиться в этом используйте Wireshark.
    После такой настройки, обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра.
    Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 и рекомендации по обновлению Windows 7 SP1
    История кумулятивных обновлений для разных версий Windows 10
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. По другому, будем создавать белый список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того, чтобы быстро разобраться какой программе, что нужно открыть в брандмауэре, можно использовать приложение Process Hacker с надстройками.
    Текущая английская сборка от Victor_VG или локализованная сборка от KLASS для Windows 10 версии не ниже 1607 Build 14393.
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" (на Windows 7 не работает, используйте набор NetworkTrafficView_russian) и
    запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим к каким портам,
    удаленным адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
     
  • Как добавлять или изменять правила используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, при помощи которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавление в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, т.к. правила от M$ могут быть восстановлены при очередном обновлении
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в системном трее на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws,
    без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 7219 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 13:53 28-06-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
 
Я думаю слив происходит на уровне "отсылаем запрос на DNS, а под шумок отправляем UDP дайтаграммы на 53-й порт своих серверов" - легальный-то DNS липовые пакеты откинет, а имитация примет и обработает аж комар носу не поточит. Думаю стоит глянуть нет ли там дублированных "DNS запросов" на явно левые по отношению к системе DNS адреса. Особенно тут IPv6 удобны - там никто толком не знает какая машины на нём сидит...

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")

Всего записей: 21440 | Зарегистр. 31-07-2002 | Отправлено: 02:36 12-04-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG

Цитата:
легальный-то DNS липовые пакеты откинет, а имитация примет и обработает аж комар носу не поточит.

Что ты в данном случае подразумеваешь под "имитацией"?

Всего записей: 7219 | Зарегистр. 12-10-2001 | Отправлено: 02:54 12-04-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
 
Использующий отличный от реального DNS хост работающий с удалёнными хостами по 53-у порту и маскирующийся под DNS. Например там может стоять кэширующий DNS (резольвер) который "знает" только записи для DNS запросов которые через него проходили. Внешне вроде DNS, но установленный на хосте DNS просто прикрытие для его основной функции. И придраться не к чему - система DNS не модифицирована,  а другие функции - параллельно машина решает прикладную задачу...

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")

Всего записей: 21440 | Зарегистр. 31-07-2002 | Отправлено: 03:23 12-04-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Но вроде как такие фокусы возможны только у провайдера на магистрали, ну и в зоне администрирования конечного днс обслуживающего "зловредную" зону, нет?
зы: конечно при условии, что клиентская машина (или роутер её локальной сети) настроены на общение только с днс провайдера (или этим граничным роутером).

Всего записей: 1332 | Зарегистр. 03-02-2005 | Отправлено: 04:07 12-04-2018 | Исправлено: Us2002, 04:10 12-04-2018
lex25

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
 
Мне неучу "понятно" одно, что левая инфа таки достигает цели  
и все через те же "правильные" ДНС?

Это не левая инфа, с ПК не происходит слив (в случае тотала и Directory).
Это обычный запрос (type TXT) к DNS серверу. Вот есть запрос type А (где ответ IP-адрес v4, при наличии) а есть TXT (и еще куча List of DNS record types) где ответ - текстовая запись домена.
 
Тотал использует эту TXT запись для проверки обновления.
Directory для проверки лицензии.
-----
 
В любом случае, я (как и вы) сторонник отказа от использования системного DNS-резолвера.
 
Немного off
Еще бы посоветовал отказаться от брандмауэра Windows.
Он неудобен и уязвим перед софтом, работающим с правами администратора или СИСТЕМЫ (речь о возможности изменять настройки брандмауэра).

Всего записей: 36 | Зарегистр. 07-01-2007 | Отправлено: 23:56 12-04-2018 | Исправлено: lex25, 23:58 12-04-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
lex25
 
А что мешает поднять ISC BIND? Работает надёжно, настроить не сложно, исходники открыты. Чего с демоверсией от Микрософт возится? Ах да, стенка не пущает, дык есть DNS Firewall Solution for BIND. Только думаю не все читать захотят. Особенно те люди кто привык к готовым решениям.
 
У меня он давно в сети стоит и сеть работает без сучка и задоринки. Не просто так корневые DNS именно на BIND подняты...
 
Добавлено:
А для базового знакомства с BIND статья сойдёт - https://habrahabr.ru/post/137587/ .
 
Добавлено:
И кстати, виндовый DHCP то же есть смысл заменить на ISC DHCP - как минимум пропадут "допущения" в интерпретации RFC и работа сети станет намного стабильнее. Демо оно для того и пишется чтобы показать возможность реализации идеи, а вот степень его соответствия стандартам во многом завит от воли автора этого демо. Собственно это мы и видим в реализации любых сервисных функций осей от Микрософт, да и они этого никогда не скрывали чётко говоря "Мы реализуем только минимальный набор базовых функций для примера решаемости задачи, а полные решения пишут разработчики сторонних сервисов, приложений и утилит. Иначе если мы сами всё сделаем они останутся без работы." Б. Гейтс, 1986 год.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")

Всего записей: 21440 | Зарегистр. 31-07-2002 | Отправлено: 00:21 13-04-2018
lex25

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А что мешает поднять ISC BIND?

А зачем он нужен?
 
>Чего с демоверсией от Микрософт возится?
Да вроде никто не возится, просто DNS-клиент отключается (как служба) и всё.

Всего записей: 36 | Зарегистр. 07-01-2007 | Отправлено: 00:39 13-04-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lex25
 
Именно это всё и объясняет "А зачем он нужен?" - раз в таком авторитетном источнике как википедия написано что элемент Х не нужен - значит там люди знают что он не нужен. Можно смело идти спать - у собеседника нет понимания предметной области, и  он искренне возмущён "Зачем мне несут сию ересь? Я и так в википедии всё прочитал, а значит всё знаю!".

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")

Всего записей: 21440 | Зарегистр. 31-07-2002 | Отправлено: 00:59 13-04-2018
lex25

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG
Да при чем тут вики, BIND не решает проблему о которой идет речь.
Напомню, программа, для которой нет разрешающего правила в брандмауэре - спокойно выходит в сеть через DNS протокол, т.к. все запросы идут через DNS-резолвер для которого есть разрешающее правило.
Какая разница кто выступает в роли DNS-резолвера - встроенный в Win или ISC BIND, схема-то одна.
-
 
Отключаем DNS-резолвер и проблема решена - в сеть выходят программы только для которых есть разрешающее правило, т.к. все запросы идут напрямую.

Всего записей: 36 | Зарегистр. 07-01-2007 | Отправлено: 04:47 13-04-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lex25

Цитата:
Тотал использует эту TXT запись для проверки обновления.  
Directory для проверки лицензии.

Это я и называю "левой инфой", потому как без ведома пользователя.
Страшного то ничего нет, но таки пользователь должен быть в курсе.
А по поводу неудобств и уязвимости... так выбора то нет, мы ведь в разделе форума Windows,
а тут, как известно, только про вынь )
Victor_VG
Ага, ты еще КаШперского начни здесь обсуждать )
В виде исключения Windows Firewall Control оставил, все таки надстройка на виндовым, остальное офф.

Всего записей: 7219 | Зарегистр. 12-10-2001 | Отправлено: 06:39 13-04-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lex25
KLASS
 
Пока за годы работы с UNIX где BIND штатный элемент ОС ни разу не видел чтобы программы смогли через него что отправить, хотя такие руткиты имеются, но срабатывают они только для M$ реализации DNS. С BIND у них этот фокус обрывается демоном - он блокирует любые попытки ПО отсылать запросы не соответствующие протоколам RFC.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")

Всего записей: 21440 | Зарегистр. 31-07-2002 | Отправлено: 16:56 13-04-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG
Старик, но есть же тема можно поговорить... уважай труд уборщиц

Всего записей: 7219 | Зарегистр. 12-10-2001 | Отправлено: 17:02 13-04-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
 
Факт, посмотри в ПМ. Я тебе кое-что переслал полезное. А пока новый РН нам соберу - исправление есть.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")

Всего записей: 21440 | Зарегистр. 31-07-2002 | Отправлено: 17:42 13-04-2018
4r0

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Если в фаерволле оставить только основы сетей DHCP, то Wi-Fi не особо хочет работать, что ещё надо разрешить?

Всего записей: 420 | Зарегистр. 26-01-2010 | Отправлено: 12:22 15-04-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4r0
Подключил рогалик wi-fi к стационару, все работает с одним исходящим правилом DHCP, даже входящего нет. Ну и разумеется правила для белого списка программ.

Всего записей: 7219 | Зарегистр. 12-10-2001 | Отправлено: 14:33 15-04-2018
4r0

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Видимо, непонятки с серверами DNS. В свойствах подключения написано 192.168.1.1, но добавление этого адреса в разрешающее правило ничего не меняет, приходится разрешать подключение к любым адресам, а не к конкретным DNS...

Всего записей: 420 | Зарегистр. 26-01-2010 | Отправлено: 14:52 15-04-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4r0

Цитата:
В свойствах подключения написано 192.168.1.1

Это у вас ошибка настройки сети. Обычно IPv4 заканчивающийся на 1 , 128 или 254 (редко) используется для указания шлюза и совпадает с IPv4 роутера, управляемого свича или хаба в сегменте/подсети соединяющего его с внешней сетью. Назначать этот IP клиентской машине не стоит - будут ошибки в работе сети. Так же нельзя использовать шировещательные IPv4 вида *.*.*.0 и *.*.*.255 - их использование для адресации хостов прямо запрещено обязательными к использованию международными стандартами IETF RFC-791, RFC-1112, RFC-4604, RFC-5944, RFC-6864 и рядом других.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")

Всего записей: 21440 | Зарегистр. 31-07-2002 | Отправлено: 15:13 15-04-2018
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG

Цитата:
Обычно IPv4 заканчивающийся на 1 , 128 или 254 (редко) используется для указания шлюза и совпадает с IPv4 роутера, управляемого свича или хаба в сегменте/подсети соединяющего его с внешней сетью. Назначать этот IP клиентской машине не стоит - будут ошибки в работе сети.

 
К нравоучению присоединяюсь.
 
Но правды ради должен написать, что никто не мешает дать шлюзу любой допустимый адрес (не *.0 и не *.255)
Если клиент будет в одной подсети со шлюзом, всё будет работать штатно.
 
Добавлено:
 
lex25

Цитата:
В любом случае, я (как и вы) сторонник отказа от использования системного DNS-резолвера.  

 
Не спорю: есть причины для такого решения
Но ведь причины есть и для решения првести остаток жизни в экранированном бункере
 
Легко потратить остаток жизни на огораживание... и более ничего не достичь.
 
Инфраструктура создаётся для удобства.
Замена публичной ненадёжной инфраструктуре "от дяди" - инфраструктра собственная, предположительно надёжная.
 
Но это удовольствие недешёвое.
Здесь вопрос не только денег, но и времени, вообще: ресурсов.
Важен баланс между силами потраченными на огораживание от публичных удобств (иногда "удобств") и на достижение собственных целей.
 
Для Victor_VG собственный BIND это просто, потому что он это в это уже когда-то вложился, и инвестиции ему отбиваются.
Для большинства это инвестиция, которая может пощипать личный ресурс и.. никогда не оправдаться.

Всего записей: 10726 | Зарегистр. 14-10-2001 | Отправлено: 17:13 15-04-2018 | Исправлено: LevT, 17:27 15-04-2018
Userrr



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MVPs Hosts File
кто-нибудь пытался запихнуть это в файерволл (12,616 entries)

Всего записей: 10755 | Зарегистр. 21-03-2006 | Отправлено: 23:20 16-04-2018
Engaged Clown



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Userrr

Цитата:
MVPs Hosts File

Есть и покруче - https://github.com/StevenBlack/hosts

Цитата:
запихнуть это в файерволл

По-моему не реально, да и тормозить будет страшно.
Можно HostsMan'ом быстро переключать.

----------
Опросы ru-board'а

Всего записей: 7990 | Зарегистр. 08-06-2006 | Отправлено: 23:35 16-04-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru