Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nobana1
Вы задали вопрос в теме по брандмауэру, я вам сказал, настройте его и слово "форсированно"
исчезнет из лексикона.
Зачем картинку прилепили про приостановку обновлений? Вы темой не ошиблись?

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 07:30 24-06-2020
nobana1

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
там темой ошибся, тут темой ошибся.
я про обновления - вы мне про брандмауэр
 
как его настроить чтобы случайно не прилетела 2004 ? и прилетит ли если у меня настроено обновление внутри 1809го билда?

Всего записей: 521 | Зарегистр. 27-11-2013 | Отправлено: 12:40 24-06-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nobana1
Начнем с начала, может я чего понял.
Вопрос: вы хотите, чтобы без вашего ведома система не обновилась на 2004?
Да или нет, если второе, то подробнее.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 12:59 24-06-2020
nobana1

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
У меня стоит обновление внутри билда - в данном случае внутри 1809.
 
Тут я прочитал  
 
"Если вы используете версию Windows 10 1903 или 1909, то проверять наличие обновления и запускать сам процесс необходимо самостоятельно"
 
"А вот на ПК с Windows 10 October 2018 Update (1809) процесс обновления до Windows 10 May 2020 Update (2004) приобрел форсированный характер, ведь вскоре Microsoft заканчивает сервисную поддержку версии 1809. Пользователи могут отключиться от интернета или использовать сторонние приложения, чтобы заблокировать возможность такого обновления. Также можно обновиться до версий 1903 или 1909, чтобы избежать форсированного перехода на 2004. И, конечно же, Microsoft не будет обновлять вашу систему, если в случае проверки появится какая-то несовместимость (например, устаревшие драйверы). В остальных случаях система принудительно будет обновлена до самой новой версии, минуя предшествующие."
 
вот я и переживаю. и боюсь что если выключить обновление только внутри текущего билда и обновиться на следующий билд ТО прилетит не только 1903 и 1909, но и 2004 - поскольку 2004 уже является актуальным.
 
знаю что 1809 будет поддерживать до ноября 2020г. но статья меня расстроила.

Всего записей: 521 | Зарегистр. 27-11-2013 | Отправлено: 13:10 24-06-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nobana1

Цитата:
У меня стоит обновление внутри билда

Дальше не читал... потому как не понял фразы.
Можете более доступно, что под фразой...

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 13:14 24-06-2020
nobana1

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Сейчас у меня 1809. Стоит обновление внутри билда - окончание 1809 = ноябрь 2020.
Но судя по статься каким-то образом произойдет принудительное обновление на 2004.
Т.е. те вкл опций что позволяют обновиться ТОЛЬКО в пределах 1809 будут игнорированы?  
 
 
Может вкл и обновиться на 1903 затем на 1909? а не ждать когда минуя 1903 и 1909 прилетит 2004?
 
Если будет установка 1903 затем 1909 а затем .... прилетит 2004 Ведь 2004 текущая на сегодняшний день? или все таки остановиться на 1909?
 
вот мне не понятна это - форсированный переход сразу на 2004

Всего записей: 521 | Зарегистр. 27-11-2013 | Отправлено: 13:25 24-06-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nobana1
Сдаюсь, не смогу объяснить, потому как не слышу

Цитата:
внутри билда
- причем тут внутри?

Цитата:
окончание 1809 = ноябрь 2020

Вообще жесть, если вы про окончание 365 дней, которые вы выставили, то считаем от начала
выпуска обновы.
Скажем так, если вы хотите контролировать то, что происходит на вашем компьютере,
то читайте шапку (все украдено, до вас), если у вас другой интерес, то я, видимо, вас не услышал, послав в эту тему. Естественно, извиняюсь.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 13:32 24-06-2020
nobana1

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Я просто не знаю что лучше - снять ограничение 365 дней и обновляться дальше, но вопрос в том что 2004 уже вышла и она будет установлена как текущая после установок 1903 и 1909
или
ждать пока принудительно установиться 2004я на 1809ю - что на мой взгляд может криво произойти! Очень часто читаю - обновление KB**** на 2004ю исправило одно а испортило другое! вот это меня и пугает!
 
Понимаю что неизбежно НО тем не менее....

Всего записей: 521 | Зарегистр. 27-11-2013 | Отправлено: 13:46 24-06-2020 | Исправлено: nobana1, 13:49 24-06-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nobana1

Цитата:
но вопрос в том что 2004 уже вышла и она будет установлена как текущая после установок 1903 и 1909
или

Бррррр... Ждать - не ждать это вы сами решите, причем тут форум... Не понятно (С)

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 13:52 24-06-2020
nobana1

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ладно! подождем!
Но устанавливать при этом будет 1903 и 1909 а уже затем 2004 (вроде уже было так с какой версией уже не вспомню) ?

Всего записей: 521 | Зарегистр. 27-11-2013 | Отправлено: 13:56 24-06-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не ведаю, просто сижу на LTSB.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 15:22 24-06-2020
blizard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А как Steam и Steam Web Helper могут себе при запуске без каких либо запросов и оповещений создавать входящие правила? Для них добавлены только исходящие правила (TCP, UDP) и запуск не от имени администратора
 
Добавлено:
Если для Steam и Steam Web Helper создать запрещающие входящие правила, то при запуске они их изменяют (удаляют общий профиль) и создают новые разрешающие входящие правила. Как так?

Всего записей: 81 | Зарегистр. 19-02-2018 | Отправлено: 20:20 16-07-2020 | Исправлено: blizard, 21:37 16-07-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
blizard

Цитата:
А как Steam и Steam Web Helper могут себе при запуске без каких либо запросов и оповещений создавать входящие правила?

А так, что программы запускаемые с правами админа могут делать в системе всё, что хочешь (но можно заюзать WFC чтобы немного этому противодействовать).

Цитата:
и запуск не от имени администратора

Steam Client Service от админа работает - как и установщик.

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 22:08 16-07-2020
blizard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
Странно что Контроль учетных записей Windows не срабатывает на запуск Steam, хотя для установщиков выдает запрос с затемненным экраном
 
Добавлено:
Т.е любой запуск программы делает стандартный Брандмауэр Windows и его настройку полностью бесполезными, т.к не для всех программ срабатывает Контроль учетных записей в отличии от большинства установщиков

Всего записей: 81 | Зарегистр. 19-02-2018 | Отправлено: 22:20 16-07-2020 | Исправлено: blizard, 22:55 16-07-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
blizard

Цитата:
Странно что Контроль учетных записей Windows не срабатывает на запуск Steam, хотя для установщиков выдает запрос с затемненным экраном

Стим нет необходимости запускаться с полномочиями администратора т.к. с этими полномочиями уже работает его сервис.

Цитата:
Т.е любой запуск программы делает стандартный Брандмауэр Windows и его настройку полностью бесполезными...

Любой зловредной программы с полномочиями администратора? Да.

Цитата:
...т.к не для всех программ срабатывает Контроль учетных записей в отличии от большинства установщиков

Я не зря упомянул WFC.

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 23:03 16-07-2020
blizard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
Да сейчас все программы в большей или меньшей степени зловредны, каждая при любом удобном случае ломится в сеть
А какие были надежды на стандартный Брандмауэр Windows вместе с такой темой. Да остается только WFC

Всего записей: 81 | Зарегистр. 19-02-2018 | Отправлено: 23:30 16-07-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А как Steam и Steam Web Helper могут себе при запуске без каких либо запросов и оповещений создавать входящие правила?

Цитата:
Да остается только WFC
Если вдруг кто захочет обойтись "только средствами системы", или боится "засрать реестр до неузнаваемости" установкой какого-то WFC, то блокировкой прав на ту ветку реестра можно защитить её от создания "левых" правил. По этому подобию и было сделано в WFC v5.3.1.0.
Брандмауэр Windows - отличный инструмент!

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 08:10 17-07-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
blizard

Цитата:
А какие были надежды на стандартный Брандмауэр Windows вместе с такой темой.

Если программа запускается с правами админа, то ей в ОС доступно всё (потому и используем костыли в виде WFC).

Цитата:
Брандмауэр Windows - отличный инструмент!

Да.

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 15:04 17-07-2020
blizard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
Если программа запускается с правами админа, то ей в ОС доступно всё (потому и используем костыли в виде WFC).

Это понятно, очень внезапно было что программа может запуститься без запроса от Контроля учетных записей вместе со своим сервисом который уже изначально с правами администратора типа steamservice.exe и делать в системе что угодно

Всего записей: 81 | Зарегистр. 19-02-2018 | Отправлено: 17:07 17-07-2020 | Исправлено: blizard, 17:09 17-07-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
blizard
Цитата:
очень внезапно было что программа может запуститься без запроса от Контроля учетных записей
CCleaner знаешь? Установи его, и увидишь, что он создал задание планировщика, позволяющее запускать его (CCleaner) с обходом UAC, т.е. UAC включен, но запроса при старте СС не выдаст.  
 По аналогии можно любую программу запускать без запроса, а уж твой steam хитровжареный до беспредела.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 17:22 17-07-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru