Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
Andryha2005

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
и Основы сетей - DNS (UDP - исходящий трафик).  

Как из этих сотен правил отсеять именно правила M$ ?

Всего записей: 201 | Зарегистр. 09-07-2005 | Отправлено: 22:14 21-01-2020 | Исправлено: Andryha2005, 22:15 21-01-2020
I95

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Andryha2005
Цитата:
Как из этих сотен правил отсеять именно правила M$ ?

Они изначально все М$.

Всего записей: 1063 | Зарегистр. 20-03-2009 | Отправлено: 09:52 22-01-2020 | Исправлено: I95, 09:55 22-01-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
Больше отключите, меньше вынь будет записывать на винт то, что нужно для отправки.

Но и больше становится риск получить глюки на ровном месте или после обновления т.ч. самый беспроблемный способ это файервол.

Всего записей: 29101 | Зарегистр. 15-09-2001 | Отправлено: 12:16 22-01-2020
despttt

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
При отключении службы dnscache (отключал через реестр) перестает работать облачная защита windows defender. Проверяю на этом сценарии https://aka.ms/ioavtest. В WFC в логе соединение для C:\programdata\microsoft\windows defender\platform\4.18.1911.3-0\msmpeng.exe до днс сервера не проходит.

Разрешающее правило стоит  

Код:
netsh advfirewall firewall add rule name="Antimalware Service Executable (DNS)" dir=Out action=Allow profile=All program="C:\programdata\microsoft\windows defender\platform\4.18.1911.3-0\msmpeng.exe" protocol=UDP remoteport=53 remoteip=192.168.88.1


В process hacker в логе msmpeng.exe, DROP, Out, WSH Default Outbound Block, 192.168.88.14, 60845, 192.168.88.1, 53, UDP

С отключенной dnscache и индивидуальными правилами на 53 порт браузер, облако, аутлук работают, а defender нет.
С включенной службой dnscache соединение проходит нормально. В чем может быть причина?

Всего записей: 5 | Зарегистр. 26-04-2014 | Отправлено: 14:22 22-01-2020 | Исправлено: despttt, 14:31 22-01-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вместо remote 192.168.88.1 попробуй указать any

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 15:12 22-01-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
despttt
Попробуйте ещё выдать соответствующие разрешения для:
 
C:\Program Files\Windows Defender\msmpeng.exe

Всего записей: 29101 | Зарегистр. 15-09-2001 | Отправлено: 15:22 22-01-2020
despttt

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Вместо remote 192.168.88.1 попробуй указать any

Не помогло

Цитата:
Попробуйте ещё выдать соответствующие разрешения для:
 
C:\Program Files\Windows Defender\msmpeng.exe

Без результата

Всего записей: 5 | Зарегистр. 26-04-2014 | Отправлено: 15:39 22-01-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
despttt

Цитата:
Без результата

Значит для облачной защиты инет ещё каким-то сервисам винды нужен...
 
Добавлено:
despttt
Значок наличия сети в правом нижнем углу без жёлтого треугольника - т.е. ОС знает о том что сеть есть?

Всего записей: 29101 | Зарегистр. 15-09-2001 | Отправлено: 15:44 22-01-2020
despttt

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Значок наличия сети в правом нижнем углу без жёлтого треугольника - т.е. ОС знает о том что сеть есть?

Значок без желтого треугольника. Сеть работает - браузер по сайтам ходит, облако синхронизируется, аутлук получает и отправляет почту, но дефендер работать нормально не хочет.
 
С этими правилами и выключенной службой dnscache облачная защита дефендера не работает

 
Включаю dnscache в реестре, включаю первое правило (Основы сетей – DNS), перезагружаю машину, проверяю на тестовом сценарии https://aka.ms/ioavtest - облачная защита работает, появляется уведомление о том, что защитник заблокировал угрозу.

Всего записей: 5 | Зарегистр. 26-04-2014 | Отправлено: 16:29 22-01-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
despttt

Цитата:
С этими правилами и выключенной службой dnscache облачная защита дефендера не работает

А в логе что? В логе должны быть записи если блокируется доступ.

Всего записей: 29101 | Зарегистр. 15-09-2001 | Отправлено: 17:20 22-01-2020
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По поводу облачной защиты.
Проверил на AOF. Не работает.
Но вот такое единственное правило для SMARTSCREEN.EXE, решает проблему:
 
Where the Protocol is TCP
    and Remote Address is 23.102.47.40
    and Remote Port is HTTPS
    and Direction is Outbound
 Allow It  
 
Добавлено:
удаленный адрес, естественно может быть динамическим, но для сессий был таким и не изменялся.

Всего записей: 2146 | Зарегистр. 01-12-2009 | Отправлено: 18:16 22-01-2020
despttt

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А в логе что? В логе должны быть записи если блокируется доступ.

Переустановил винду. Изменения - дефендер стал работать из папки C:\Program Files\Windows Defender, а не из C:\programdata\microsoft\windows defender\platform\4.18.1911.3-0 (сейчас это пустая папка), переодически стал появляться значок об ограничении сети. Ограничения сети перестало появляться после добавления двух правил для службы NlaSvc.
Сначало проверил облако дефендера с выключенной dnscache - не работает, уведомлений нет, файл скачивается. Включил dnscache, перезагрузил машину, проверил - облако работает, уведомление появляется, проходит соединение msmpeng.exe по порту 443 TCP. Далее я отключил dnscache, перезагрузил, проверил - стало появляться уведомление о обнаруженных угрозах. Но в логе для msmpeng.exe соединения по 53 порту UDP заблокированы, соединения по 443 TCP не устанавливались, значит обнаружение закешировалось и облако не работает.
 
Лог без dnscache:
заблокированные

 
разрешенные

 
Лог с dnscache:
разрешенные

 
заблокированные

 
Правила:

Всего записей: 5 | Зарегистр. 26-04-2014 | Отправлено: 20:29 22-01-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
despttt

Цитата:
Сначало проверил облако дефендера с выключенной dnscache - не работает, уведомлений нет, файл скачивается.

Оно и с включенным dnscache через раз появляется.
 
Да и вообще какой смысл выключать dnscache при этом включая "облачную защиту" - IMHO никакого.

Цитата:
...соединения по 443 TCP не устанавливались, значит обнаружение закешировалось и облако не работает.

А как эта "Облачная защита" у MS вообще работает? В реальном времени или просто чаще чем обычно скачивает расширенные/экспериментальные базы (у меня вот самодельную безобидную прожку заблокировало)?

Всего записей: 29101 | Зарегистр. 15-09-2001 | Отправлено: 12:50 23-01-2020
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
despttt
Внимательно прошелся по рекомендациям "Настройка и Проверка сетевых подключений для антивирусной программы Защитник Windows", ибо облачная защита windows defender была всегда отключена и как-то меня это не беспокоило.
ПохожеПри отключении службы dnscache облачная защита не работает. Не работает никак.
В моей практике - это уже второй случай.

Всего записей: 2146 | Зарегистр. 01-12-2009 | Отправлено: 14:34 23-01-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Caravelli

Цитата:
ПохожеПри отключении службы dnscache облачная защита не работает.

Работает. Но оно вроде не в реальном времени передают туда-обратно данные (не как шпионский KSN у тех же касперышей), а если отключена отправка образцов так и подавно.

Всего записей: 29101 | Зарегистр. 15-09-2001 | Отправлено: 17:05 23-01-2020
despttt

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я пришел к выводу, что дефендер нормально без службы dnscache работать не будет. Проверяю здесь https://demo.wd.microsoft.com/ на сценарии Block At First Sight(BAFS). Там при скачивании каждый раз создается уникальный файл, исключается кеширование обнаружения в дефендере. Без dnscache дефендер никак не реагирует, файл спокойно скачивается. С dnscache появляется уведомление о обнаруженных угрозах. Если кто будет проверять, то нужно в групповых политиках изменить состояние Настройка функции «Блокировка при первом появлении» на включено и там в справке написано, что еще надо включить.  

 
Также майкрософт предлагает повершелл скрипт для включения нужных настроек https://www.powershellgallery.com/packages/WindowsDefender_InternalEvaluationSettings/

Всего записей: 5 | Зарегистр. 26-04-2014 | Отправлено: 18:22 23-01-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
despttt
Спасибо большое за ссылки - протестирую завтра на чистых виртуалках и отпишусь о результатах
 
2KLASS
Если, что то мы оптимальные настройки WF для WD ищем - не прогоняй нас отсюда!




Не забудьте результаты поиска опубликовать в шапке.

Всего записей: 29101 | Зарегистр. 15-09-2001 | Отправлено: 18:26 23-01-2020 | Исправлено: KLASS, 18:32 23-01-2020
Timius1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
despttt
Попробуйте создать правило ДНС53 для самого дефендера?
 
Ссылка
 
Ссылка
у меня антивирус подкачал базы по этим правилам
И вопрос к понимающим в этой теме; не усугубляет ли despttt своё положение давая разрешение на это(открываю дыру для Дефендера и его облака)?

Всего записей: 21 | Зарегистр. 17-05-2018 | Отправлено: 13:10 24-01-2020 | Исправлено: Timius1, 13:17 24-01-2020
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Timius1
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Запустите с комстроки(админ) и проверьте дружит облако с вами или нет.

Всего записей: 2146 | Зарегистр. 01-12-2009 | Отправлено: 15:09 24-01-2020
Timius1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вот две попытки: в папке Program Files дефендер\Platform\ пусто, по этому %ProgramData%
C:\Windows\system32>"%ProgramData%\Microsoft\Windows Defender\Platform\4.18.1911.3-0\MpCmdRun.exe" -ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=80004005 httpcode=451)
CmdTool: Failed with hr = 0x80004005. Check C:\Users\836D~1\AppData\Local\Temp\MpCmdRun.log for more information
 
C:\Windows\system32>"%ProgramData%\Microsoft\Windows Defender\Platform\4.18.1911.3-0\MpCmdRun.exe" -ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=80072EE7 httpcode=451)
CmdTool: Failed with hr = 0x80072EE7. Check C:\Users\836D~1\AppData\Local\Temp\MpCmdRun.log for more information
 
но дефендер я останавливал командами по примеру.
может после этого он как то не так работает?))

Всего записей: 21 | Зарегистр. 17-05-2018 | Отправлено: 10:42 25-01-2020 | Исправлено: Timius1, 10:48 25-01-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru