Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11063 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member

Цитата:
Reader удаляет существующее правило брандмауэра

При запрете записи в известную ветку реестра?

Всего записей: 11063 | Зарегистр. 12-10-2001 | Отправлено: 18:11 03-04-2019
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Люди жалуются. На Win10 установлен Abode Reader DC, и каждый раз, когда .pdf
На Win10 стандартная практика как минимум разграничение прав - на любом компе
должна быть админская учётка (для установок) и пользовательская (даже для себя)
 
естественно вся работа происходит под пользовательским акаунтом (игры, интернет, и пр.)
- тогда при запусках под локальным пользователем у софта элементарно
не будет нужных прав для внесения безпредела в систему,
причём автоматом - без танцев с бубном и самодельным велосипедом вокруг веток реестра

Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 19:33 03-04-2019 | Исправлено: vikkiv, 19:36 03-04-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv

Цитата:
Люди жалуются.

Так то админы жалуются
 
Добавлено:

Цитата:
без танцев с бубном и самодельным велосипедом вокруг веток реестра

Система при обновлении\загрузке вас не спросит, админ вы или как

Всего записей: 11063 | Зарегистр. 12-10-2001 | Отправлено: 19:41 03-04-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Цитата:
При запрете записи в известную ветку реестра?
Нет, без запрета записи.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 20:14 03-04-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Портативный тоже пишет правила?

Всего записей: 11063 | Зарегистр. 12-10-2001 | Отправлено: 20:17 03-04-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Большей информацией не располагаю, это не у меня.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 20:26 03-04-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Теперь все норовят что-то отправить, стало-быть, запрещать любыми доступными средствами и портативки.
Сам остановился на:
1. Запрет на запись в ветку реестра, т.к. включен Hyper-V и при каждой загрузке пишет правила мне не нужные (svchost). Это касаемо админ\пользователь
2. UWF-фильтр включен, т.е. при загрузке запрет на запись в ветку всегда есть
3. Сетевой адаптер всегда в отключенном состоянии до входа в систему
Вхожу в систему и жамкаю батник, где:
4. Заливка своих правил (запрет на ветку не имеет значения),
потому как правила периодически дополняю и вот, чтобы каждый раз не отключать UWF-фильтр при создании нового правила, делаю импорт правил при входе
5. После импорта своих правил, выписывается запрет на ветку, потому как он снимается после пункта 3.
6. Включается сетевой адаптер (права админа), именно после запрета на ветку, иначе пропишет правила от Hyper-V (svchost), а оно надо
Программ в системе, кроме офиса и дров, нет. Портативки на другом разделе. Обновления, разумеется, отключены
Работаю под админом, хотя никто не мешает и здесь гайки закрутить, планировщиком запускать все, что требует админовых прав, но как и сказал выше,
правила могут прописаться при обычном включении сетевого адаптера.

Всего записей: 11063 | Зарегистр. 12-10-2001 | Отправлено: 21:39 03-04-2019 | Исправлено: KLASS, 21:55 03-04-2019
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
shadow_member
 
Он обходит запреты прямым обращением к  ядру. У приятеля на MacOS X (основана на коде FreeBSD UNIX) он из-под гостя(!) пытается править /etc/pswd добавляя туда себя любимого. За это я его давно со своих машин и выкинул - один из самых больших нерях Вселенной. Альтернатив полно, нужную всегда можно подобрать по набору требований задачи и свойств-возможностей пакета. Просто сесть с листком бумаги и выписать в две колонки "надо - доступно" - так легче отыскать подходящее решение.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 33134 | Зарегистр. 31-07-2002 | Отправлено: 21:53 03-04-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG
Так проверял ведь виртуалку Акулой, установленной на хост. Нет соединений.
 
Добавлено:
А, ты про акробат, а я за брандмауэр
 
Добавлено:
Сам им не пользуюсь (Акробатом), но никто не мешает юзать портативный

Всего записей: 11063 | Зарегистр. 12-10-2001 | Отправлено: 21:58 03-04-2019 | Исправлено: KLASS, 22:01 03-04-2019
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
у меня немного по другому (стоит VMWare Player - я по его поводу не парюсь, одно фиксированное правило и всё)
проверяю/переписываю чтобы здесь всё было True/Blocked
Код:
Get-NetFirewallProfile | Select-Object Name,Enabled,DefaultInboundAction,DefaultOutboundAction

и здесь всегда фиксированный Count с 6-8-ю правилами (In/Out для DHCP и Chrome, и правила с тонной BlackListed IP со всяких Spam/Ad Factory {их скрипты и медиа) типа кучи реинкарнаций doubleclick/googlesyndication и пр., обновляющий список IP по хостам через другой скрипт)
Код:
Get-NetFirewallRule -Enabled True -Action Allow | Select-Object -Property Name,Action,Direction,DisplayNAme | Sort-Object Direction,Action

Ну ещё отдельный PS скрипт на разрешение/запрет нужных сервисов через FW на периоды обновлений.

Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 22:10 03-04-2019 | Исправлено: vikkiv, 22:12 03-04-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv
У меня бзик-без стороннего ПО
 
Добавлено:

Цитата:
и правила с тонной BlackListed IP

В смысле для Хрома?
Тогда в студию.
А кто следит за сменой тех IP?

Всего записей: 11063 | Зарегистр. 12-10-2001 | Отправлено: 22:16 03-04-2019
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
 
Именно, я про AR. Его навязывают силой под предлогом "Иначе справка на сайте!" а в нём полно скрытых . Это ещё с первой версии акробата повелось. Как и у КорелДрав полно "пасхальных яичек" с целью привязать юзера только к своим технологиям. Мне художники в 93-м(!) пару показали - до сих пор живы. И мелкософт этим не гнушается - это цена за то, что математика под винду стоит на порядок (минимум! ) дешевле чем её UNIX аналоги, а цена клиентского ПО скрыта в серверных лицензиях.  
 
Там мы платим не за код, на UNIX он стоит копейки, а за инженерную поддержку фирмы-разработчика на весь срок существования нашей бизнес-задачи, а а на винде считай за коробочку, пачку бумаги и дискеты с программой которая для разработчика окупилась на первых сотнях копий и реально стоит как рулон туалетной бумаги с нас скрытно дерут три шкуры. Нам об этом ещё в 93-м тогдашний глава представительства Майкрософт в России на лекции рассказывал. С тех пор эта механика не менялась...

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 33134 | Зарегистр. 31-07-2002 | Отправлено: 22:20 03-04-2019
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
 
хмм, ветка ведь Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows
а Power Shell это всё-таки родное встроенное средство администрирования Windows систем (не говоря о том что
всех работающих на cmd у нас уже как лет 5 поувольняли - несмотря на все способности по искусству сложности писания там)
 
Причём здесь ограничение только для хрома - работает по принципу: у запрещения преимущество над разрешением
FW не пускает пакеты с(на) этих IP адресов (или диапазонов) для всего что лезет в сеть (или пытается от туда принять)
 
За сменой IP тоже следит scheduled job проходя по списку например таким PowerShell образом

Код:
[System.Net.Dns]::gethostaddresses("www.mail.ru").ipaddresstostring

(естественно перед записью почистив адреса из белого списка если хостят вместе)
 
Хотя на входе в корпоративные сетки всё равно стоит ещё один слой FW фильтрующий целые страны и сомнительные DC
(тот который Data Center а не Domain Controller) вместе с разводными NS, туда-же вносятся временно
(и потом после нескольких повторений - на постоянно) всякие адреса штурмующие разведкой и прочими сомнительными
запросами с подозрением на BruteForce/DDoS после ХХ попыток в секунду на протяжении увеличивающихся интервалов

Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 23:11 03-04-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv

Цитата:
а Power Shell это

Речь не про повершел (сам юзаю), но про
Цитата:
VMWare Player


Цитата:
FW не пускает пакеты с(на) этих IP адресов (или диапазонов)

Понятно, давно отказался банить по IP и диапазонам.
Акулой, установленной на хост, проверяли виртуалку с настроенным FW на ней таким образом?

Всего записей: 11063 | Зарегистр. 12-10-2001 | Отправлено: 06:51 04-04-2019
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
онятно, давно отказался банить по IP и диапазонам.  

А какие альтернативы не локальных станциях на без сторонних програмных решений или внешних NS с FW, hosts естественно совсем не вариант.

Цитата:
Акулой, установленной на хост, проверяли виртуалку с настроенным FW на ней таким образом?

Если ради хоста то тоже сторонним (в т.ч. WhSh) стараюсь без необходисмости не пользоваться, иногда поглядываю в Resource Monitor, кроме того все остальные правила разрешены но действие с Allow измененно на Block (в смысле само услужливое создание разрешающих правил системой подсказывает куда смотреть), а что там в виртуалках происходит - как-то всё равно.

Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 11:36 04-04-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv

Цитата:
А какие альтернативы

Настройка из шапки.

Цитата:
Если ради хоста то тоже сторонним

Акула портативная из коробки. Проверьте, при бане по IP стук продолжается... еще в 2016 году
занимались здесь на форуме банами IP, пруф. Потом люди добрые подсказали, что это тупик.
А виртуалка нужна для проверки Акулой, что с нее (виртуалки) летит к Мелким, например при загрузке системы.

Всего записей: 11063 | Зарегистр. 12-10-2001 | Отправлено: 11:52 04-04-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Запрет на запись в реестре используешь тот, что выше?  
У меня сетевые выключаются автоматом при выключении компа, не при загрузке. После загрузки включаю мануально батником.
Заблокированы исходящие для установленного и портабельного софта, обновления системы и софта отключены, кроме антивируса.
Правила просматриваю, бекаплю, левого создания новых или изменения существующих нет, кроме тестовых случаев.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 12:45 04-04-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Запрет на запись в реестре используешь тот, что выше?

Ну да.
shadow_member

Цитата:
У меня сетевые выключаются автоматом

Сетевой всегда у меня отключен пока не запустил батник после входа в систему, все по ссылке, тоже не создается никаких левых правил.

Всего записей: 11063 | Зарегистр. 12-10-2001 | Отправлено: 13:37 04-04-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
А виртуалка нужна для проверки Акулой, что с нее (виртуалки) летит к Мелким, например при загрузке системы.
Так вроде же разобрались, что ничего не летит если всё встроенным фаером заблокировано?

Всего записей: 29113 | Зарегистр. 15-09-2001 | Отправлено: 15:47 04-04-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
Это я предложил vikkiv самому проверить, так как он сегодня банит по IP.
Вот пусть по IP в виртуалке забанит, а на хосте смотрит, что слив идет с той виртуалки.

Всего записей: 11063 | Зарегистр. 12-10-2001 | Отправлено: 16:10 04-04-2019
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru