Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Из описания темы видно, что речь пойдет о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии,
    вся "борьба" с которой сводится к отключению\перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик), но оставив это правило DNS помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Потому для верности, создавайте правила DNS для каждой программы из белого списка, а правило Основы сетей - DNS (UDP - исходящий трафик) предпочтительно тоже отключить.
    Отключив правило, обязательно отключите службу DNS-клиент
    Все, Интернета - нет, как и нет любых других соединений (кроме DHCP), включая телеметрию. Чтобы убедиться в этом используйте Wireshark.
    После такой настройки, обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра.
    Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 и рекомендации по обновлению Windows 7 SP1
    История кумулятивных обновлений для разных версий Windows 10
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. По другому, будем создавать белый список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того, чтобы быстро разобраться какой программе, что нужно открыть в брандмауэре, можно использовать приложение Process Hacker с надстройками.
    Текущая английская сборка от Victor_VG или локализованная сборка от KLASS для Windows 10 версии не ниже 1607 Build 14393.
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" (на Windows 7 не работает, используйте набор NetworkTrafficView_russian) и
    запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим к каким портам,
    удаленным адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
     
  • Как добавлять правила в брандмауэр используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, при помощи которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавление в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, т.к. правила от M$ могут быть восстановлены при очередном обновлении
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в системном трее на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws,
    без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 7053 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 00:36 09-06-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
harrykkk

Цитата:
Есть какой-нибудь способ помирить Быстрый запуск и ГП?

Какой смысл выключать сетевой адаптер, если вы используете быстрый запуск?
При выключении компа, завершается сеанс пользователя, а системный сеанс сбрасывается в гибернацию,
а при включении компа эта инфа считывается в память и вы получаете экран приветствия с уже загруженной системой.
Как таковой, загрузки компа по новой просто не было и вы вернулись туда откуда ушли при выключении.
 
Добавлено:

Цитата:
т.е. адаптер выключается только при Перезагрузке. При Завершении работы не выключается

Теперь понятно почему так происходит.
При перезагрузке быстрый запуск не_задействован\не_работает, а при завершении
ГП не работает, вы ведь не выключили комп полноценно, когда должна работать ГП,
но сбросили системный сеанс в гибернацию... до ГП еще дело не дошло в вашем случае
и права тут точно не причем.

Всего записей: 7053 | Зарегистр. 12-10-2001 | Отправлено: 14:13 05-06-2018 | Исправлено: KLASS, 15:33 05-06-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
harrykkk

Цитата:
Есть какой-нибудь способ помирить Быстрый запуск и ГП?

выключить адаптер и потом отправить комп в сон, ну тоесть иметь некоторые постоянно выключенные девайсы при остальных постоянно включенных, ну и запретить паверманагеру их дёргать от слова совсем

Всего записей: 1257 | Зарегистр. 03-02-2005 | Отправлено: 20:07 05-06-2018 | Исправлено: Us2002, 20:11 05-06-2018
harrykkk



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2All

Цитата:
Есть какой-нибудь способ помирить Быстрый запуск и ГП?

C этим вопросом разобрался. Всем спасибо за участие.
Us2002

Цитата:
https://technet.microsoft.com/ru-ru/library/mt629216(v=vs.85).aspx

В статье по ссылке выше из соображений безопасности рекомендуется

Цитата:
Назначайте право Отказать во входе в качестве пакетного задания локальной учетной записи "Гость".

В W10 ltsb с батником westlife = "Не определено"
У меня в W8.1 Pro = HomeGroupUser$
На чем лучше остановиться?

Всего записей: 474 | Зарегистр. 24-02-2013 | Отправлено: 20:15 05-06-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
harrykkk
да как пожелаешь,
Цитата:
HomeGroupUser$
+
Цитата:
"Гость"
=) имхо веселее, да и вроде хомгруппы производитель уже хоронит

Всего записей: 1257 | Зарегистр. 03-02-2005 | Отправлено: 20:20 05-06-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добавил контекстное меню в шапку для файлов *.EXE

Обращаю внимание, что сторонний файловый менеджер, например XYplorer, запущенный
под User (есть у него такая фишка, даже если вы вошли под админом в систему),
меню отобразит и даже будет запрос UAC, но правило в брандмауэре создано не будет.
Из проводника правило будет создано после запроса UAC. Имя правила - путь к файлу,
останется поправить правило на свое усмотрение.

Всего записей: 7053 | Зарегистр. 12-10-2001 | Отправлено: 23:31 08-06-2018 | Исправлено: KLASS, 23:33 08-06-2018
harrykkk



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT

Цитата:
Начиная с 8.1 можно дёргать такой скрипт:

А как вывести все правила [и настройки] фаервола в виде командлетов PowerShell?

Всего записей: 474 | Зарегистр. 24-02-2013 | Отправлено: 14:10 11-06-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Может, FireWallRulesParser от Ratiborus упростит задачу.

Всего записей: 15202 | Зарегистр. 18-07-2006 | Отправлено: 09:50 12-06-2018
harrykkk



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
FireWallRulesParser

На странице Ratiborus не нашел. В этой теме по ссыдке ничего нет.
Та версия, что есть у меня, наверное очень древняя:
1. Выдает всего 100 правил против 307 имеющихся (видимо видит только включенные правила).
2. Выдача в формате NetSh (а хотелось в PowerShell).
3. Все правила, кроме двух последних имеют какой-то сокращенный формат.

Код:
Netsh.exe Advfirewall Firewall add rule name="@FirewallAPI.dll,-36852" dir=in action=allow program="%SystemRoot%\system32\dashost.exe" description="@FirewallAPI.dll,-36853" profile=public

Два последних выглядят лучше

Код:
Netsh.exe Advfirewall Firewall add rule name="Основы сетей - протокол DHCP (DHCP - исходящий трафик)" dir=out action=allow protocol=17 program="%SystemRoot%\system32\svchost.exe" service=dhcp description="Разрешает сообщения DHCP для автонастройки с отслеживанием состояния." localport=68 remoteport=67

но все равно не хватает group, localip, remoteip...

Всего записей: 474 | Зарегистр. 24-02-2013 | Отправлено: 14:07 12-06-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru