Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_II

Цитата:
надо вначале всё запретить, а потом потихоньку приоткрывать калитку.  

 
По крайней мере WildGoblin (С) меня ткнул носом, а когда сам увидел, что местный брандмауэр ничем не хуже,
чем любой сторонний (на котором бабки выуживают из чайников), приспособился к нему
Читай тему, здесь уже все давно разжовано.

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 17:45 10-01-2019 | Исправлено: KLASS, 17:47 10-01-2019
Oleg_II



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ах, да! Про отключение DNS. Просветите, пожалуста: в шапке написано про отключение службы (можно реализовать сразу с другими настройками), а потом упоминалось "отрубить dnscache" - вот это что? Или это и есть отключение службы DNS клиента?

Всего записей: 2879 | Зарегистр. 30-09-2002 | Отправлено: 17:51 10-01-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а потом упоминалось "отрубить dnscache" - вот это что? Или это и есть отключение службы DNS клиента?

А сам что подумал?
Ты службу отключи и все, чего тут рассуждать?
Можешь не отключать, тот же WildGoblin говорит, что не к чему, если не... читаем шапку

Цитата:
но оставив это правило DNS помним и не забываем

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 17:53 10-01-2019 | Исправлено: KLASS, 17:54 10-01-2019
Oleg_II



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
На мой непрофессиональный взгляд, родной файрвол очень даже ничего. Замороченный в настройках - это да. За это с чайников деньги и берут - за удобство и комфорт
 
 
ЗЫ Не, то не его цитата была

Всего записей: 2879 | Зарегистр. 30-09-2002 | Отправлено: 17:54 10-01-2019 | Исправлено: Oleg_II, 18:03 10-01-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Замороченный в настройках - это да.

Лечится, я же вылечился
Флейм уже, даешь тех информацию... одноклассники не здесь, ага

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 17:56 10-01-2019
Oleg_II



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Тех информация нужна от участников, я же только учусь, типа
 
Вот в шапке написано:
Цитата:
создавайте правила DNS для каждой программы из белого списка (разрешить UDP исходящее соединение, удаленный порт 53),
Да, знаю, я часто бываю нудный Но мне нужно точно знать, это для примера 53 порт здесь приведён или именно его для всех программ и прописывать?

Всего записей: 2879 | Зарегистр. 30-09-2002 | Отправлено: 18:01 10-01-2019 | Исправлено: Oleg_II, 18:03 10-01-2019
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
Так рассказывай

дык идея рассказана, мал того, частично реализована давно например во всяких симантеках

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 18:03 10-01-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_II
Начни НЕ с отключения ДНС, тем более, если нет программ, которые могут использовать эту дырку, типа, TC для обнов, Directory Opus для слива лицензии... других, пока не ведаю.
В шапке напоминание об этом-не более.

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 18:05 10-01-2019 | Исправлено: KLASS, 18:06 10-01-2019
lyolik r

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_II

Цитата:
 это для примера 53 порт здесь назван или его для всех программ прописывать?

 
 

Цитата:
53/TCP,UDP     DOMAIN (Domain Name System)

Всего записей: 459 | Зарегистр. 26-05-2012 | Отправлено: 18:06 10-01-2019
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_II

Цитата:
 но блокировки входящих соединений без перезагрузки не получается пока

???? с чего б это, новую десятку дёргаешь? на старой системе не наблюдал такого косяка?
 
Добавлено:
Oleg_II

Цитата:
Там очень просто вернуть настройки по умолчанию

я в курсе, но с блоком лог веселее анализируется

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 18:08 10-01-2019
Oleg_II



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Цитата:
Начни НЕ с отключения ДНС,
Так в ОБЩЕМ уже пройдённый вопрос. Вкус крови я уже почувствовал Теперь надо конкретные программы добавлять. Я тоже за отключение лишней службы, ресурсы никогда лишними не бывают.
 
lyolik r
К сожалению, я не профессиональный компьютерщик, не все намёки понимаю... Т.е. это универсальный порт для интернет-программ достаточный для их деятельности? И его будет достаточно для большинства программ?

Всего записей: 2879 | Зарегистр. 30-09-2002 | Отправлено: 18:12 10-01-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Us2002

Цитата:
частично реализована давно например во всяких симантеках

Не юзал, откуда мне (и не только) знать
 
Добавлено:
Oleg_II
Читай уже шапку, отключаем все кроме и т.д.
Работает.

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 18:13 10-01-2019
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_II

Цитата:
 с проги "снимались отпечатки пальцев",

+++
тож давно реализовано было но тогда тока по размеру и версии, щаз нужно по подписи и хэшу
 
Добавлено:
в венде этим апплокер занимается в дополнении к фаеру, ну и гп

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 18:16 10-01-2019 | Исправлено: Us2002, 18:18 10-01-2019
Oleg_II



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Us2002
Цитата:
с чего б это
Это я про применение настроек через приведённый INF-файл.
Всё работает, не волнуйся
Цитата:
с блоком лог веселее анализируется
Это не про меня. Я бы с удовольствием большинство логов поотключал, но помню, что раньше после этого Виндовс вообще не стартовала
 
Добавлено:
KLASS
Цитата:
Читай уже шапку, отключаем все кроме и т.д.
Работает.
Ещё на прошлой странице я привёл файл конфигурации через реестр, который повторяет информацию в шапке и уже работает (протестировано
 
Готов даже следующим шагом отключить DNS и внести это в тот же файл настроек вместе с остановкой службы и прописыванием дополнительных правил для приведённых в нём в качестве примера программ.
 
Но мне хотелось бы получить информацию, если это возможно, по поводу цитаты из шапки и 53-го порта - правильно ли я понял, что этот порт подойдёт для большинства (не будем пока трогать слишком замудрённые) программ?

Всего записей: 2879 | Зарегистр. 30-09-2002 | Отправлено: 18:18 10-01-2019 | Исправлено: Oleg_II, 18:24 10-01-2019
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_II

Цитата:
53/TCP,UDP     DOMAIN (Domain Name System)  

перефразируй вопрос дабы не получать тот же самый ответ постоянно
 
Добавлено:
это стандартный порт для обращения к серверу днс, разрешив его, любая прога может отослать запрос по нему

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 18:27 10-01-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_II

Цитата:
...но блокировки входящих соединений без перезагрузки не получается пока, без перегрузки только импорт из штатного файла настроек.
Сервис фаера наверное можно дёрнуть туда-сюда.
 
KLASS

Цитата:
ДНС-слив, скажем, лицензии... не более.
Кто будет сливать лиц через днс? Говнопрога какая? Если да, то такую прогу кто будет у себя запускать?

Цитата:
Слив есть-факт...
Какой факт, давай конкретику!
 
Oleg_II

Цитата:
Перечитываю тут другую тему и согласен с мнением одного товарища из 2017 года - надо вначале всё запретить, а потом потихоньку приоткрывать калитку.
Я гораздо раньше тут подобную методу продвигал и народ подумав принял идею на ура. )

Цитата:
Не знаю, то ли это, что было в Proto Firewall, нот там при создании правила на программу, с проги "снимались отпечатки пальцев", т.е. пропускало только тот экзешник, на который создавалось правило, при замене - облом.
В WF такого нет, но можно реализовать другими средствами винды.
 
KLASS

Цитата:
...чем любой сторонний (на котором бабки выуживают из чайников), приспособился к нему
Меня тоже как-то ткнули носом (за что я очень благодарен), что нужно по возможности больше нативные средства винды использовать.
 
 
Добавлено:
KLASS

Цитата:
TC для обнов
Это что?

Цитата:
Directory Opus
Он что действительно днс-туннель создаёт? лооол Наверняка же уже во всех базах антивиров?
 
 
Добавлено:
Ещё в догонку:
 
А что ему "Directory Opus" помешает заиметь список распространённых программ, искать их, инжектиться в них и создавать туннель уже через них?

Всего записей: 29100 | Зарегистр. 15-09-2001 | Отправлено: 18:31 10-01-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_II
Цитата:
53 порт здесь приведён или именно его для всех программ и прописывать?
Двигайся от простого к сложному! 53 - единственный и уникальный порт для протокола DNS, его и пишешь.
А в остальном подтянувшиеся мемберы, как всегда, зафлудили тему, зерна от плевел отличаются уже с трудом.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 18:45 10-01-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Ты уверен, что там точно днс-туннель, а не просто серв его сидит на 53-м порту и радостно ждёт стука?

Всего записей: 29100 | Зарегистр. 15-09-2001 | Отправлено: 18:45 10-01-2019
Oleg_II



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Us2002
Цитата:
перефразируй вопрос дабы не получать тот же самый ответ постоянно
Уже писал, что не профессиональный компьютерщик
Цитата:
это стандартный порт для обращения к серверу днс, разрешив его, любая прога может отослать запрос по нему
Спасибо! Сейчас допишу файл установок после опробования
 
WildGoblin
Цитата:
Сервис фаера наверное можно дёрнуть туда-сюда.  
Возможно, я не ясно выразился, извиняюсь. Всё переключается, если, например, через netsh (не пробовал, но должно), а средствами предложенного INF-файла не получается. Возможно, будет достаточно файл-эксплорер перегрузить, но через INF я знаю только один способ, а его не рекомендуют.

Всего записей: 2879 | Зарегистр. 30-09-2002 | Отправлено: 18:49 10-01-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member

Цитата:
А в остальном подтянувшиеся мемберы, как всегда, зафлудили тему, зерна от плевел отличаются уже с трудом.
Просто не надо догматом что-то непроверенное объявлять.

Всего записей: 29100 | Зарегистр. 15-09-2001 | Отправлено: 18:49 10-01-2019
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru