Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 9654 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 15:03 21-12-2020
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Us2002
Включаем аудит папки и приязываем к нему скрипт. Все упирается в мастерство написания скриптов) Принципиально-то все достижимо

Всего записей: 269 | Зарегистр. 25-02-2012 | Отправлено: 18:23 02-03-2019
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
аудит всех папок включен, лог пишется, на любой чих запуск скрипта по событию? да не проще ли гвоздями прибить необходимые рулсы для разрешенного софта???
 
Добавлено:
хотя для противоположной задачи (разрешение всех исходящих из папки тест с подпапками) согласен с таким методом

Всего записей: 1737 | Зарегистр. 03-02-2005 | Отправлено: 20:07 02-03-2019
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
кажется, натолкнулся на  индусскую безолаберность) В смд не проходят эти команды для следующих неймов и групп (у всех так?):
 
netsh advfirewall firewall set rule name="Только для драйвера WFD (TCP - входящий трафик)" new enable=No
netsh advfirewall firewall set rule name="Только для драйвера WFD (TCP - исходящий трафик)" new enable=No
netsh advfirewall firewall set rule name="Только для драйвера WFD (UDP - входящий трафик)" new enable=No
netsh advfirewall firewall set rule name="Только для драйвера WFD (UDP - исходящий трафик)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, HTTP - входящий)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, RTCP - входящий)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, RTCP - входящий)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, RTP - исходящий)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, RTP - исходящий)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, RTSP - входящий)" new enable=No
netsh advfirewall firewall set rule name="Сервер потоковой передачи на устройство (потоковая передача, RTSP - входящий)" new enable=No
netsh advfirewall firewall set rule group="Служба беспроводных сетей - правила для работающих в режиме ядра драйверов служб WFD" new enable=No
netsh advfirewall firewall set rule group="Функция "Передать на устройство"" new enable=No

Всего записей: 269 | Зарегистр. 25-02-2012 | Отправлено: 19:47 07-03-2019
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Продолжаю разбирать глюкодром.
Есть портабильная софтина, которая создает папки с имнем переменных - например c:\portable\%appdata%\proga.exe. И никаким способом нельзя ее выпустить в инет по имени. Аппдата всегда раскрывается в полный путь. А с именем вроде %%appdata%% правило добавляться не хочет.
Хреновая работа, MS...

Всего записей: 269 | Зарегистр. 25-02-2012 | Отправлено: 13:56 10-03-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Я не знаю, поможет ли тебе это
 

Всего записей: 21796 | Зарегистр. 18-07-2006 | Отправлено: 21:45 10-03-2019
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Ну это понятно, что аппдата у систем своя. Я про то что они не предусмотрели экранирование, ведь я аппдату не хотел не свою, ни системную.  
По итогу набросал скриптец который мне джункшинами раскидал проблемные папки. Ну вроде все настроил... Ну все, думаю супер-пупер защита готова. Запустил стим - и.... сразу плюс 100500 левых правил во входящих... и так каждый раз. Запускаешь стим под елеватед юзер через дропмайрайтс или псекзек - ругается и крашится. Короче хз как жить с вашим брендмауэром. По идее надо думать и выосить в шапку выносить варианты как блочить правила штатными средствами, ибо все эти перезаливки при перезагрузках- это херня. Фаеровол должен защищать во время работы, а не в момент старта винды.

Всего записей: 269 | Зарегистр. 25-02-2012 | Отправлено: 22:34 10-03-2019
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
так он и защищает во время работы, особенно если запреты на вход/выход поставить (белым списком),
т.е. что-бы пользователь (с ограниченными правами) сам ни добавил у себя в песочнице
(а на другие {системные} директории у него нет прав) - в сеть не пролезет без ведома админа.
 
если нужно наоборот - разрешить всяким проходимцам делать
у себя в песочницах всё что вздумается в определённых границах
то вариантов тоже хватает, например можно решать через порты/протоколы а не путями.
а все файлы можно и так принудительно сканировать/удалять при создании/скачивании.

Всего записей: 722 | Зарегистр. 10-11-2005 | Отправлено: 02:27 11-03-2019
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В случае с уже установленным софтом, имеющим свою службу - урезание прав безполезно.  
И в случае установки софта - когда ты должен дать права - надеятся на бренд нет смысла, только вырубать сеть. Да, эти сценарии - не доверять установленному или устанавливаемому софту, в энтерпрайз вобще не встречаются, так что даже нет смысла об этом.
По-любому есть какая то ветка реестра, где правила хранятся, которую на чтение можно поставить... Кто-то пробовал уже?

Всего записей: 269 | Зарегистр. 25-02-2012 | Отправлено: 06:29 11-03-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Цитата:
В случае с уже установленным софтом, имеющим свою службу - урезание прав безполезно  
-полезно.
Правила брандмауэра в этой ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy
Заманипулируй права так, что ни одна б... не добавит, не удалит. Или используй Binisoft WFC v5.3.1.0, он как раз так работает. Да и в его теме много полезного.
А вот "только на чтение" - не поможет, недостаточно. Квинтэссенция из всего сказанного - решение есть, и давно.

Всего записей: 21796 | Зарегистр. 18-07-2006 | Отправлено: 09:25 11-03-2019
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member, сенк
Такая полезная инфа про реестр и не в шапке! Поди bini то и не нужен для такой простой задачки, subinacl-а должно хватить

Всего записей: 269 | Зарегистр. 25-02-2012 | Отправлено: 16:26 11-03-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Ну, как доведешь дело до конца, поделись.

Всего записей: 21796 | Зарегистр. 18-07-2006 | Отправлено: 16:58 11-03-2019
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member, лови дружище. Екзешник subinacl ложите вместе с батником рядом. Ну тут все просто. если закрыть смд после первой паузы - останется блокировка. Если брякнуть эникей то можно заносить рулзы. Естественно сохраняете в 866 кодировке, ну думаю все в теме
На стиме проверил - пашет блокировочка
 
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /setowner=Администраторы
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /grant=Администраторы=f
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /grant=Все=R
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /deny=Все=S
cls & color 4 & echo. FW changes is BLOCKED. Press anykey for ALLOW... & pause>null
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /setowner=Администраторы
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /grant=Администраторы=f
%~dp0subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules /grant=Все=C
cls & color 2 & echo. FW changes is ALLOWED... & pause>null

Всего записей: 269 | Зарегистр. 25-02-2012 | Отправлено: 17:51 11-03-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Спасибо! Впервые идея блокирования ветки с правилами была опубликована на форуме где-то в начале 2018, ник мембера, увы, не вспомнить. Помнится, там ветка реестра казалась просто пустой.  
Но идея прижилась, была реализована в WFC v5.1.0.0...v5.3.1.0 и вот тобою.
 
Добавлено:
Да, работает, первоначально сам ошибку внес.

Всего записей: 21796 | Зарегистр. 18-07-2006 | Отправлено: 18:14 11-03-2019 | Исправлено: shadow_member, 22:46 11-03-2019
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
у меня норм. Пытаюсь удалять в реестре любую запись - ошибка "не удается удалить все выделеные параметры".
 
Не могу предположить даже что у вас. Может раствикано что...

Всего записей: 269 | Зарегистр. 25-02-2012 | Отправлено: 20:31 11-03-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Del

Всего записей: 21796 | Зарегистр. 18-07-2006 | Отправлено: 21:29 11-03-2019 | Исправлено: shadow_member, 22:45 11-03-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Пытаюсь удалять в реестре любую запись - ошибка "не удается удалить все выделеные параметры".  

Для сведений. Если после запрета в реестре сделать импорт правил командой netsh,
можно снова удалять параметры в реестре или отключать\включать\удалять\добавлять правила в брандмауэре:
netsh advfirewall import "Путь\имя_файла_политики_брандмауэра.wfw"

Всего записей: 9654 | Зарегистр. 12-10-2001 | Отправлено: 22:22 19-03-2019
dnyws

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Очень интересно и насколько эффективна против телеметрии такая настройка?

Всего записей: 52 | Зарегистр. 15-03-2019 | Отправлено: 14:54 23-03-2019
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В мозгу забрезжила идея. А почему бы при имеющейся жесткой настроке брэндамауэра не организовать офлай установку обнов автоматом? Смотрите, скриптом создается задание bits, выкачивается обнова, далее рубится сеть, потом wusa /install, потом вишенкой на тотре cleanmgr с подчисткой обнов и выключение пекарни. Но есть один вопрос - есть ли способы вычисления прямого URL-a для кумулятива?

Всего записей: 269 | Зарегистр. 25-02-2012 | Отправлено: 22:59 23-03-2019
Gideon Vi

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
 
можно брать здесь, но фай крупный https://go.microsoft.com/fwlink/?LinkID=74689
 
можно парсить эту страницу https://www.catalog.update.microsoft.com/Search.aspx?q=Windows%2010%20x64

----------
Cyberpunk 2077

Всего записей: 7309 | Зарегистр. 02-02-2004 | Отправлено: 04:06 25-03-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди жалуются. На Win10 установлен Abode Reader DC, и каждый раз, когда .pdf открывается через браузер, Reader удаляет существующее правило брандмауэра и создает новое правило брандмауэра.

Всего записей: 21796 | Зарегистр. 18-07-2006 | Отправлено: 18:01 03-04-2019
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru