Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Us2002

Цитата:
надо инструкцию по лому банкоматов?

А есть рабочая? iKAT работает ещё?

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 19:19 17-01-2019 | Исправлено: WildGoblin, 19:30 17-01-2019
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
гдето естественно есть =)

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 20:12 17-01-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Us2002
Ступай во флейм. Здесь твоя вода ни к чему.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 08:09 18-01-2019
pangasiys



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
скажите пож, что за адрес 255.255.255.255 - его можно в удаленных адресах разрешать? и вообще как с ним реагировать если он стучится - ему разрешать впускать или везде его блокировать?

Всего записей: 6409 | Зарегистр. 05-06-2012 | Отправлено: 16:29 18-01-2019
garryroma



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
скажите пож, что за адрес 255.255.255.255 - его можно в удаленных адресах разрешать? и вообще как с ним реагировать если он стучится - ему разрешать впускать или везде его блокировать?

https://ru.wikipedia.org/wiki/DHCP

Всего записей: 5687 | Зарегистр. 30-01-2003 | Отправлено: 17:21 18-01-2019
pangasiys



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
garryroma
эта тема в этом форуме не для того чтоб отсылать в гугл или на википедию - а чтоб отвечать на вопросы - понял!
 
Добавлено:
...тогда уж и в шапке сразу напиши - по всем вопросам идите в гугл или на вику

Всего записей: 6409 | Зарегистр. 05-06-2012 | Отправлено: 17:25 18-01-2019
garryroma



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pangasiys

Цитата:
эта тема в этом форуме не для того чтоб отсылать в гугл или на википедию - а чтоб отвечать на вопросы - понял!  

Тебе здесь никто и ничего не должен. И ссылку я дал, чтобы ты хотя бы основы прочитал и не задавал дурацких вопросов. И вместо благодарности - хамство. Обленились совсем. Простейшую информацию не хотят самостоятельно получить.

Всего записей: 5687 | Зарегистр. 30-01-2003 | Отправлено: 19:11 18-01-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pangasiys
garryroma
Тормозим. Обсуждаем тех-вопросы, остальное в баню.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 17:22 19-01-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Опять обновилась платформа Дефендера (до версии 4.18.1901.7-0) и опять пришлось вручную создавать правила для него и для Microsoft Network Realtime Inspection Service - такой себе адок за всем этим вручную следить... Может кто уже поборол и автоматизировал?

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 12:20 01-02-2019
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
 
MS услужливо показывает все правила, дальше минимум действий: держи белый список, периодически скриптом (PS: через Set-NetFirewallRule) проходи по правилам и ставь (меняй если стоит allow) на block (с обеих сторон: in/out) всё что не в этом списке (плюс возможно дополнительное на основании условий типа: что за сервис, как называется, что за программа, какой путь, и пр.)

Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 17:31 03-02-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv

Цитата:
MS услужливо показывает все правила, дальше минимум действий...
Нет, при обновлении платформы Дефендера не создаются новые правила... ну и я использую WFC. Может есть уже какие-то рекомендации для администраторов, корпоративных пользователей... или опять ждать пару лет пока на технете появится описание как оно работает и с чем его есть&
 
(Как по мне так это напоминает ту мерзость которую устраивает пользователям гугел - каждая новая версия хрома устанавливается в папку с новым именем )
 
P.S. Поделитесь скриптом?

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 22:47 03-02-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Думаю, что тут этот пост тоже интересен будет:
 
Настройка работы NetBios overTCP/IP в Windows 10

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 12:53 07-02-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если RAM>3,5gB, то, начиная с Windows 10 Creators Update (v1703), службы svchost.exe разделены - каждая будет работать в своем собственном процессе svchost.exe. Если  RAM<=3,5gB, службы по-прежнему группируются в общий процесс svchost.exe.
https://docs.microsoft.com/en-us/windows/application-management/svchost-service-refactoring

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 11:57 10-02-2019
pangasiys



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
скажите - кто опытный - для браузера исходящие все соединения по UDP можно заблокировать? на работе браузера отрицательно не скажется?
 
...мдаас - с опытными у нас дефицит - отвечу сам себе вместо опытных - заблокировал все исходящие на UDP и нормально браузер пашет без сюрпризов (QQBrowser)

Всего записей: 6409 | Зарегистр. 05-06-2012 | Отправлено: 22:23 10-02-2019 | Исправлено: pangasiys, 06:49 11-02-2019
pangasiys



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
такс - ладненько - на предыдущий пост я сам себе ответил и попробывал - но теперь у меня в мысле возник новый важный вопрос а опытным (мож быть найдутся всё таки) - вопрос такой:
как можно создавать правила не для всего-общего svchost.exe (там в нём полно разных процессов) а создавать провила по ID-процессу этого svchost.exe ?

Всего записей: 6409 | Зарегистр. 05-06-2012 | Отправлено: 07:11 11-02-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pangasiys
Может, по ID определить имя службы и выбрать его при составлении правила в Binisoft WFC  
   
Разработчик утверждает, что такие правила работают на win7, и не работают выше. PrivateWinTen четко выбрасывает алерты на службы, а WFC молчит, может, слишком зарегулирован, уже не вспомнить.  
За короткое время в сеть ломанулись службы
C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s DsmSvc
C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s wuauserv
st.exe -k LocalServiceNetworkRestricted -p -s WinHttpAutoProxySvc
C:\WINDOWS\system32\svchost.exe -k LocalServiceAndNoImpersonation -p -s SSDPSRV
C:\WINDOWS\system32\svchost.exe -k NetworkService -p -s CryptSvc
Не, вспомнил, сеть для svchost заблокирована полностью, и он внесен в исключения оповещений, поэтому и не показывает алерты.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 09:34 11-02-2019 | Исправлено: shadow_member, 09:39 11-02-2019
pangasiys



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Разработчик утверждает, что такие правила работают на win7, и не работают выше
вот это очень мне обидно потому что у меня 8.1
Цитата:
вспомнил, сеть для svchost заблокирована полностью, и он внесен в исключения оповещений, поэтому и не показывает алерты
мда - очень жалко
Цитата:
За короткое время в сеть ломанулись службы......
а это ты узнал с помощью чего? с помощью PrivateWinTen?
 

Всего записей: 6409 | Зарегистр. 05-06-2012 | Отправлено: 09:47 11-02-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PrivateWinTen, но и WFC покажет. А ключи ком. строки смотрел по ID в Process Hacker.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 10:08 11-02-2019
pangasiys



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А ключи ком. строки смотрел по ID в Process Hacker
ну ладно - очень спс за важную (мне) инфу - попробую таким способом поколдовать/помудрить/поискать процессы от svchost.exe
 

Всего записей: 6409 | Зарегистр. 05-06-2012 | Отправлено: 10:54 11-02-2019
conon



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Скажите можно ли блокнуть центр обновление виндовс? Ну смысле мне только обновление заблокировать и всё Я могу конечно через групповые политики это сделать но домашняя виндовс 10 нету политик ещё можно через simplewall но хотелось бы штатным всё это сделать.

Всего записей: 26 | Зарегистр. 13-01-2019 | Отправлено: 15:14 11-02-2019
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru