Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
sunny1983

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Т.е. если через панель Настройки заходишь на  вкладку Брандмауэр и безопасность сети, смотришь, например, на параметры Общедоступная сеть и видишь, что Брандмауэр Microsoft Defender активен?
 

Я по привычке настройки ищу в Панели управления, а не в шестерёнке "Настройки".
Если в шестерёнке открыть Брандмауэр и безопасность сети, то правда будет ссылка на Comodo, а если через Панель управления, то как обычно можно войти в редактирование правил брандмауэра Windows.

Всего записей: 190 | Зарегистр. 04-02-2010 | Отправлено: 23:45 22-09-2020
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sunny1983
Цитата:
Если в шестерёнке открыть Брандмауэр и безопасность сети, то правда будет ссылка на Comodo, а если через Панель управления, то как обычно можно войти в редактирование правил брандмауэра Windows.
Что-то как-то странно.
Вообще, если продукт совместим с установленной осью, то брандмауэр Windows, как правило, тихо отключается. Речь идет об чисто установленной оси - без свистелок-перделок и хвостов от предыдущих продуктов

Всего записей: 2146 | Зарегистр. 01-12-2009 | Отправлено: 08:46 23-09-2020
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gutasiho
 
 

Цитата:
Вам должна помочь эта статья (настройка в редакторе локальной групповой политики).  
Отзовитель про результат.
 

Не знаю, или я что то не так делаю или win 2012 очень глючная система. Включил через GPO, но тоже самое, в логах ничего нет, а сам файл пустой.  
 
 
shadow_member

Цитата:
Ещё вариант. Временно установить Windows Firewall Control, отказавшись от установки рекомендованных правил WFC, т.е. будут работать только те правила, которые есть в системе сейчас. WFC при старте переводит аудит в нужное положение (включает), и смотреть заблокированные в его человеческих логах.  

да что за херня. тоже пуст. похожу они вообще все по своему работают.  
 
Но в логах "безопасность" сыпаются много записей. По IP адресу инициатора ищу, но только все записи про исходящие. входящих не вижу, то что блокируется.  
 
 
Добавлено:
Теперь как остановить этот флуд?  
 
 

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 09:42 23-09-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
Цитата:
Включил через GPO, но тоже самое, в логах ничего нет, а сам файл пустой.  
Тот способ является альтернативным и не очень юзабельным.

Цитата:
Временно установить Windows Firewall Control,

Цитата:
тоже пуст.
Тот лог, что указан в твоём первом посту, и будет пуст, т.к. WFC (считай, что это то же самое, что и брандмауэр Windows) логи (т.е. журнал соединений) пишет в другое место (не путать с "другим" местом ) - Просмотр событий -> Журналы Windows -> Безопасность, что ты в данном случае и наблюдаешь. Для удобного просмотра используй не просмотрщик событий Windows, а встроенный в WFC просмотр журнала. В WFC выбери режим "средняя фильтрация". В зависимости от ситуации входящих может не быть совсем, или быть совсем мало.  
Для решения задачи с WFC переходи сюда.
 
Добавлено:

Цитата:
Теперь как остановить этот флуд?
Это не флуд, это запись в журнале о заблокированном входящем соединении, т.е. это нормально. Отключить ведение журнала можно отключением аудита, но этого делать не нужно.
 
 
Добавлено:
Но теперь хоть у тебя есть продвижение вперёд, ты уже видишь логи!

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 10:14 23-09-2020
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
 
О! все получилось. блокировался порт 137 UDP.  
Теперь для решения флуда в Просмотр событий -> Журналы Windows -> Безопасность
 
Удалить WFC  или можно оставить , но где то что то отключить?

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 10:33 23-09-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
Ответ тут

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 10:36 23-09-2020
sunny1983

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Что-то как-то странно.
Вообще, если продукт совместим с установленной осью, то брандмауэр Windows, как правило, тихо отключается. Речь идет об чисто установленной оси - без свистелок-перделок и хвостов от предыдущих продуктов

У меня чисто установленная десятка. Вообще я не очень понимаю как это так может быть, что работают 2 брандмауэра, вот допустим в одном брандмауэре есть правило, что подключения по порту 1194 запрещены, а в другом, что разрешены, разрешаться или запрещаться будет трафик по факту.
Кстати я снёс Comodo и сейчас у меня вопрос чисто про встроенному брандмауэру Windows, собственно вопрос, который поднимался на прошлой странице по логированию событий брандмауэра, собственно у меня события в C:\Windows\System32\LogFiles\Firewall пишутся, а в просмотре событий не пишутся, в свойствах включил логирование пропущенных и дропнутых пакетов как для частной, так и для общественной сетей. Какой код события кстати нужно в фильтре ввести?

Всего записей: 190 | Зарегистр. 04-02-2010 | Отправлено: 07:16 25-09-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sunny1983
Цитата:
работают 2 брандмауэра, вот допустим в одном брандмауэре есть правило, что подключения по порту 1194 запрещены, а в другом, что разрешены, разрешаться или запрещаться будет трафик по факту.  
Последовательно сработают два правила, соединений по порту 1194 не будет.  
В общем, два - это слишком, к тому же, возможны коллизии и конфликты.
Две двери закрыты разными ключами, первую открыл, а вторую нет. Проход свободен? Нет, проход закрыт.
Цитата:
события в C:\Windows\System32\LogFiles\Firewall пишутся, а в просмотре событий не пишутся,
Для писания нужно сделать это.
Цитата:
Кстати я снёс Comodo
Очень мощный фаервол, один из лучших.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 08:11 25-09-2020
sunny1983

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Для писания нужно сделать это.


Цитата:
Если блокировка есть, а журнал пустой, то нужно включить аудит командой от админа. Синтаксис разный для рус. оси и анг. В теме выкладывал.

Я в политиках аудита установил "Аудит системных событий" в "Успех, Отказ", это оно? До сих пор события не пишутся.

Всего записей: 190 | Зарегистр. 04-02-2010 | Отправлено: 15:57 27-09-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Похоже, но не оно. Нужно из ком. строки включить аудит для Windows Filtering Platform и перезагрузить комп.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 18:49 27-09-2020
cbah

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
знатоки, если в штатном файрволе у виндовса 7 блокировать все исходящие подключения и оставить только нужные проги, какие еще необходимые подключения и службы нужно пропустить в интернет? минимальный белый список. спасибо.

Всего записей: 498 | Зарегистр. 13-11-2007 | Отправлено: 00:27 29-09-2020
Death_INN

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cbah, в шапке все ответы

Всего записей: 3025 | Зарегистр. 24-10-2002 | Отправлено: 02:41 29-09-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cbah
Удали всу правила, исходящие и входящие.  
Создай правило, блокирующее все входящие (или не создай, по умолчанию, если никакого правила нет совсем, входящие и так будут блокироваться).
Создай исходящее разрешающее правило DNS.
Создай два правила DHCP (если без него не будет работать или плохо работает интернет)
Создай исходящее разрешающее правило для браузера.
Вот и весь необходимый минимум. В итоге смогут выходить в сеть svchost по двум правилам и браузер. Дальше корректируй, добавляй нужные правила.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 08:46 29-09-2020
4r0

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cbah я делал так.
Отключить все предустановленные входящие и исходящие правила, кроме исходящего для DHCP (можно попробовать и его отключить, но если это вызовет проблемы с доступом к инету - включить его обратно).
Остановить и отключить службу dnscache.
Создать разрешающее исходящее правило для исполняемого файла браузера - по UDP любые соединения, по TCP - к удалённому порту 53.
По моему опыту, входящие не нужны ни Firefox, ни Chrome.
Для остальных программ - всё индивидуально, например, uTorrent нужны все исходящие и все входящие по UDP и TCP, для остальных можно начать с правил, аналогичных правилам для браузеров, если не работает - тогда убирать ограничение по порту 53 для TCP, потом можно разрешить входящие. Если не удалось найти рекомендации по конкретному приложению - придётся методом проб и ошибок.
 
Если нужен доступ для проверки обновлений Windows - вечером напишу, что работало у меня, но если разрешать выход для svchost.exe - теряется весь смысл, который вроде бы заключается в запрете для винды сливать инфу на свои серверы.

Всего записей: 731 | Зарегистр. 26-01-2010 | Отправлено: 15:18 29-09-2020
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4r0
Цитата:
для исполняемого файла браузера - по UDP любые соединения, по TCP - к удалённому порту 53.  
И это чудо творческой мысли реально работает, у вас?

Всего записей: 2146 | Зарегистр. 01-12-2009 | Отправлено: 16:07 29-09-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Остановить и отключить службу dnscache.
Это верно, но сложно для чела, только начинающего разбираться в этих делах. Пусть бы сначала разобрался с классическими настройками.
Цитата:
для исполняемого файла браузера - по UDP любые соединения, по TCP - к удалённому порту 53.

Цитата:
И это чудо творческой мысли реально работает, у вас?
Да ошибся чел, он хотел сказать
Цитата:
для исполняемого файла браузера - по TCP исходящие на уд. порт 80, 443, 8080 (можно и без него), по UDP - к удалённому порту 53.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 18:00 29-09-2020
cbah

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сделал как в шапке. поздно вчера было, вот и не увидел.
во входящих оставил только две строки "Основы сетей - протокол DHCP" и еще уторрент,
в исходящих - две строки "Основы сетей - протокол DHCP" и "Основы сетей - DNS". ну и нужные проги.
вроде все работает. спасибо.
shadow_member

Цитата:
для исполняемого файла браузера - по TCP исходящие на уд. порт 80, 443, 8080 (можно и без него), по UDP - к удалённому порту 53.

это для всех браузеров надо прописать? а порт 21 для фтп не нужно указать?

Цитата:
Остановить и отключить службу dnscache.
Это верно, но сложно для чела, только начинающего разбираться в этих делах. Пусть бы сначала разобрался с классическими настройками.

и ничего не сложно, когда-нибудь надо начинать! напишите, как остановить и отключить dnscache в виндовс 7, пожалуйста.
всем спасибо.
 
Добавлено:
с dnscache вроде разобрался:
Панель управления\Все элементы панели управления\Администрирование -> днс-клиент - остановить, тип запуска - отключена. так?
это для чего нужно?

Всего записей: 498 | Зарегистр. 13-11-2007 | Отправлено: 19:40 29-09-2020 | Исправлено: cbah, 19:51 29-09-2020
blizard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А что там за огромные списки разрешающих правил которых не видно в брандмауэре? Restricted Services - Служебные сервисы. Они обходят графический интерфейс брандмауэра и зачем их скрыли?  
 
Chrome, Adobe может и еще кто туда добавили свои разрешающие правила.
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices

Всего записей: 81 | Зарегистр. 19-02-2018 | Отправлено: 01:34 30-09-2020 | Исправлено: blizard, 01:40 30-09-2020
pangasiys



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
для исполняемого файла браузера - по TCP исходящие на уд. порт 80, 443, 8080 (можно и без него), по UDP - к удалённому порту 53.
не пойму зачем разрешать удалённый UDP - 53 для браузеров - у меня для всех браузеров исходящий трафик по UDP вообще запрещён и все браузеры нормально работают - вот например у меня правила для Макстон 6 браузера:


Всего записей: 6415 | Зарегистр. 05-06-2012 | Отправлено: 02:12 30-09-2020
sunny1983

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Похоже, но не оно. Нужно из ком. строки включить аудит для Windows Filtering Platform и перезагрузить комп.

Можно подробнее. Поиск по "Windows Filtering Platform включение аудита" никакой инфы по включению из командной строки не дал. Нашёл только, что нужно это включать не в базовой политике аудита. а в расширенной политике аудита. На всякий случай включил все правила, но события до сих пор не пишутся.

Всего записей: 190 | Зарегистр. 04-02-2010 | Отправлено: 03:00 30-09-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru