Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Из описания темы видно, что речь пойдет о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии,
    вся "борьба" с которой сводится к отключению\перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик), но оставив это правило DNS помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Потому для верности, создавайте правила DNS для каждой программы из белого списка, а правило Основы сетей - DNS (UDP - исходящий трафик) предпочтительно тоже отключить.
    Отключив правило, обязательно отключите службу DNS-клиент
    Все, Интернета - нет, как и нет любых других соединений (кроме DHCP), включая телеметрию. Чтобы убедиться в этом используйте Wireshark.
    После такой настройки, обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра.
    Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 и рекомендации по обновлению Windows 7 SP1
    История кумулятивных обновлений для разных версий Windows 10
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. По другому, будем создавать белый список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того, чтобы быстро разобраться какой программе, что нужно открыть в брандмауэре, можно использовать приложение Process Hacker с надстройками.
    Текущая английская сборка от Victor_VG или ее локализованный вариант от KLASS для Windows 10 версии не ниже 1607 Build 14393.
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" (на Windows 7 не работает, используйте набор NetworkTrafficView_russian) и
    запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим к каким портам,
    удаленным адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
     
  • Как добавлять или изменять правила используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, при помощи которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавление в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, т.к. правила от M$ могут быть восстановлены при очередном обновлении
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в системном трее на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws,
    без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 7414 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 08:56 01-09-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Userrr
Engaged Clown
 
Смысла в обоих решениях нет. HOSTS/LMHOSTS используются DNS как локальная копия  обратной (ARP) зоны DNS при отрицательном ответе внешних серверов на DNS-запрос. Это первое, второе - многие системы защиты проверяют наличие в них записей своих серверов и обнаружив их останавливают запуск программ выводя сообщение об  ошибке, причём часто специально невнятное чтобы принудить юзера обратится в свою техподдержку. Ну и третье блокировать через бытовые роутеры то же нет смысла так там обычно ограниченная по размеру таблица блокировки иначе им ОЗУ не хватит и они повиснут.  
 
Разумнее блокировать на локальном праймори DNS т.к. он имеет наивысший приоритет при опросе и в случае его ответа ОС не опрашивает другие DNS считая запрос обработанным. И блокировать лишнее лучше всего используя один из незадействованных IP в своей подсети чтобы ОС не шастала за пределы сегмента.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")

Всего записей: 21906 | Зарегистр. 31-07-2002 | Отправлено: 02:10 17-04-2018
Userrr



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Разумнее блокировать на локальном праймори DNS

тогда нафига огород городить, проще использовать 77.88.8.88/77.88.8.2 от яндекса
у них ещё есть 77.88.8.7/77.88.8.3 выпиливыющие порнуху, но это богохульство )))

Всего записей: 10821 | Зарегистр. 21-03-2006 | Отправлено: 02:28 17-04-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Userrr
 
Дома ты хозяин, а в гостях -  в чужой монастырь со своим уставом не ходят.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")

Всего записей: 21906 | Зарегистр. 31-07-2002 | Отправлено: 04:50 17-04-2018
Engaged Clown



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тогда разумнее использовать принцип "запрещено всё, кроме white-листа".
Но это уже параноя, я считаю.
Userrr

Цитата:
от яндекса

Да их уже много развелось.
Можно от IBM 9.9.9.9
Можно от AdGuard DNS
Есть даже клиника - платный SkyDNS.

----------
Опросы ru-board'а

Всего записей: 8054 | Зарегистр. 08-06-2006 | Отправлено: 11:51 17-04-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Engaged Clown
Не паранойя, но умение пользоваться доступными, системными средствами, не более )

Всего записей: 7414 | Зарегистр. 12-10-2001 | Отправлено: 11:59 17-04-2018
Klisma

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я тут




Еще такая попытка и клизму обеспечу.

Всего записей: 2 | Зарегистр. 05-05-2018 | Отправлено: 18:51 06-05-2018 | Исправлено: KLASS, 19:17 06-05-2018
KismetT_v3



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Klisma
Я тут

Баном бы тебе в соответствующее место. Сейчас котя прийде, порядок наведе.


----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 1226 | Зарегистр. 08-04-2016 | Отправлено: 19:03 06-05-2018 | Исправлено: KismetT_v3, 19:05 06-05-2018
Timius1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте! Я сделал так;
Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)  
Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)  
Основы сетей - DNS (UDP - исходящий трафик) отключил и службу DNS-клиент
 
Подскажите пожалуйста а как быть с синхронизацией времени? если есть решение подскажите.
И пожалуйста покажите пример как делать правило для программ отдельно UDP-53

Всего записей: 5 | Зарегистр. 17-05-2018 | Отправлено: 07:45 17-05-2018
serPCgrey

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Удалил вот эти правила.
Основы сетей - протокол DHCP (вх. трафик DHCP)  
Основы сетей - протокол DHCP (DHCP - исходящий трафик)
Подскажите , как их ручками прописать в файерволле.

Всего записей: 1 | Зарегистр. 28-07-2015 | Отправлено: 14:47 17-05-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Timius1
Любой сервер времени не от мелких (например, 88.147.254.228, 88.147.254.229) и разрешить
исходящее для C:\Windows\system32\svchost.exe по UDP 53 порту и только на указанные IP-адреса.
Также и правило для UDP53, берете браузер и разрешаете TCP, после создаете правило UDP53
для этого браузера... и вообще тему читайте с начала, все уже украдено и давно.
serPCgrey
В шапке есть, как восстановить правила по умолчанию, вот восстановите и настройте по новой.

Всего записей: 7414 | Зарегистр. 12-10-2001 | Отправлено: 15:26 17-05-2018
Timius1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Timius1  
Любой сервер времени не от мелких (например, 88.147.254.228, 88.147.254.229) и разрешить  
исходящее для C:\Windows\system32\svchost.exe по UDP 53 порту и только на указанные IP-адреса.  
Также и правило для UDP53, берете браузер и разрешаете TCP, после создаете правило UDP53  
для этого браузера... и вообще тему читайте с начала, все уже украдено и давно

Спасибо!
 





п. 2.8.2. главы VIII Соглашения по использованию

Всего записей: 5 | Зарегистр. 17-05-2018 | Отправлено: 16:10 17-05-2018 | Исправлено: KLASS, 16:16 17-05-2018
Timius1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте.
Создал по вашему примеру такие исходящие
Основы сетей - протокол DHCP (вх. трафик DHCP)  
Основы сетей - протокол DHCP (DHCP - исходящий трафик)
Синхронизация времени (UDP 53 - исходящий трафик)   %SystemRoot%\System32\svchost.exe    Любой    88.147.254.232    UDP    53    53  
все работает кроме синхронизации времени. хотя я просто не знаю как проверить его работу)))
подскажите пожалуйста как именно надо настраивать синхронизацию времени? [/more]

Всего записей: 5 | Зарегистр. 17-05-2018 | Отправлено: 12:30 22-05-2018 | Исправлено: Timius1, 13:59 22-05-2018
IamTheNight



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Timius1
Для синхронизации времени - разрешить, помимо 53-го, удалённый порт 123 (Ntp).
Чтобы проверить - в настройках обновить "вручную"...  
Ну и, в планировщике/реестре можно подшаманить - http://ab57.ru/howto/timesync.html

Всего записей: 358 | Зарегистр. 29-03-2016 | Отправлено: 16:57 22-05-2018 | Исправлено: IamTheNight, 17:13 22-05-2018
Timius1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
http://www.picshare.ru/uploads/180522/EIzjF55mKO_thumb.jpg
что то у меня не получается.

Всего записей: 5 | Зарегистр. 17-05-2018 | Отправлено: 18:20 22-05-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Timius1
Добавляем при настройке системы сразу нужные сервера времени:

Код:
 
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers]
@="0"
"0"="88.147.254.228"
"1"="88.147.254.229"
 
 

Добавляем правило в брандмауэр:

Код:
 
netsh advfirewall firewall add rule name="Синхронизация времени (UDP - исходящий трафик)" dir=Out action=Allow program="C:\Windows\system32\svchost.exe" protocol=UDP remoteport=123 localport=123 remoteip=88.147.254.228,88.147.254.229
 

 
Добавлено:
Кстати, в шапке же есть это правило... люди то старались )

Всего записей: 7414 | Зарегистр. 12-10-2001 | Отправлено: 08:10 23-05-2018 | Исправлено: KLASS, 08:11 23-05-2018
IamTheNight



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сомненеваюсь насчёт
Цитата:
localport=123
- получается только этот порт открыт для svchost?
Не знаю какие в сабже приоритеты. НО. Если в другом правиле открыты все порты и оно превалирует... нафига указывать 123-й локальный?
А если наоборот - остальные-то (локальные) будут блокироваться, не?

Всего записей: 358 | Зарегистр. 29-03-2016 | Отправлено: 11:18 23-05-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
IamTheNight
TCP, удаленный порт 123. Удаленные IP или указанные тобою, или все. Локальный порт-  все порты. Локальный IP- любой. И проверить синхронизацию вручную, сначала с выключенным фаерволом, затем с включенным. По исх. соединениям правила создаются максимально жесткие.

Всего записей: 15857 | Зарегистр. 18-07-2006 | Отправлено: 11:36 23-05-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
IamTheNight
Чем меньше для svchost разрешено, тем хуже не станет.
В шапке же все разжевано.
shadow_member
По UDP тоже работает синхронизация.

Всего записей: 7414 | Зарегистр. 12-10-2001 | Отправлено: 11:47 23-05-2018
IamTheNight



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Цитата:
TCP, удаленный порт 123...
Точно ТСР?
Разве я спрашивал как настраивать фаер? Чо ты влез-то не по делу? Прискакал, пёрнул не разобравшись...
 
(Табличка сарказм поднята.) Думал это я объясняю... оказывается спрашиваю... как настроить фаер, синхронизацию проверить... я запутался...
 
 





Хамить то зачем

Всего записей: 358 | Зарегистр. 29-03-2016 | Отправлено: 12:02 23-05-2018 | Исправлено: KLASS, 12:09 23-05-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
IamTheNight
Излечися, чувак.




Повелся на хамство

Всего записей: 15857 | Зарегистр. 18-07-2006 | Отправлено: 12:06 23-05-2018 | Исправлено: KLASS, 12:10 23-05-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru