Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Caravelli
Смотря кто коннект инициирует, в P2P архитектуре например чтобы достучаться до серверного Remote Desktop (и мн. др. сервисов) - без входящих правил не обойтись..
Если-же локальное приложение постоянно общается с сервером (pull) то необязательно, т.к. оно всю необходимую информацию может получить само определяя (что нужно, по собственно данным с сервера) и запрашивая нужное от туда (удалённый клиент соответственно ложит данные на сервер используя его как буфер).
 
Death_INN
Ну ещё тот вопрос, сам трафик необязательно есть, несмотря на попытки куда-то подключаться.
Точно-ли всё настроено на True и Block по умолчанию?
PowerShell через admin:

Код:
Get-NetFirewallProfile|select Name,Enabled,DefaultInboundAction,DefaultOutboundAction|ft

или из cmd:

Код:
powershell "Get-NetFirewallProfile|select Name,Enabled,DefaultInboundAction,DefaultOutboundAction|ft"


Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 14:47 23-11-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Р2р это же классика. Например два компа, входящие разрешены/нет:

Код:
Есть <> Есть - кто угодно к кому угодно может подключиться и легко качать/раздавать
Есть < Нет  - подключение будет  и можно качать/раздавать
Нет > Есть - аналогично
Нет - Нет - такие люди не могут подключиться друг к другу

Т.е. если у вас нет открытого порта, то вы теряете часть пользователей, с которыми можно соединиться. Как скачивать, так и раздавать,неважно.

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 14:58 23-11-2020 | Исправлено: KiloSub, 15:02 23-11-2020
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv
Благодарю за ответ.
Как-то не придавал значения по входящим правилам, пока не увидел вопрос от blizard.
А вот, например, браузер. Если я даю запрет на входящие по TCP для браузера, при прочих разрешениях на исходящие, то всё-равно всё работает.
Что-то я упустил из виду. Почему не работает запрещающее правило?

Всего записей: 2146 | Зарегистр. 01-12-2009 | Отправлено: 20:05 23-11-2020
blizard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Caravelli
TCP

Всего записей: 81 | Зарегистр. 19-02-2018 | Отправлено: 20:22 23-11-2020 | Исправлено: blizard, 20:24 23-11-2020
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Caravelli
Зачем специально давать запрет на входящие для браузера если там по идее
и так стоит всё в Block по умолчанию вне зависимости от программы (которых сотни),
т.е. там запрещено всё кроме того что разрешено (отдельными входящими правилами)
 
для входящих (с настр. FireWall по умолчанию) какие-то отдельные усилия
(если не предприняты до этого) нужны только для разрешения, а не для блокировки.
 
Собственно отв. на вопрос: входящие нужны если соединение инициируется внешним устройством
(пробивающимся на твой ПК к какому-то слушающему сервису),
а не внутренней программой (для которой в таком случае нужны исходящие)
 
Классический браузер будет прекрасно работать на только одном исходящем
(или на двух если есть более тонкая кофигурация отдельно для TCP с 80/443 и UDP:53 для своего DNS {или 5353:mDNS})

Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 21:46 23-11-2020
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv
blizard на картинке изобразил, так сказать, систему «трёх рукопожатий» для TCP/как щас помню handshake в модемном соединении/
Я предположил, что специально создавая блокирующее правило, я могу вмешаться в прием от сервера SYN/ACK-пакета.
А так как брандмауэр не пакетный фаер, то ничего и не будет.
 
Добавлено:

Цитата:
Собственно отв. на вопрос: входящие нужны если соединение инициируется внешним устройством (пробивающимся на твой ПК к какому-то слушающему сервису),
Гугел тоже самое говорит

Всего записей: 2146 | Зарегистр. 01-12-2009 | Отправлено: 18:55 24-11-2020 | Исправлено: Caravelli, 18:55 24-11-2020
Death_INN

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv

Цитата:
Классический браузер будет прекрасно работать на только одном исходящем

Потому что входящие от браузера есть часть исходящих, как запрос-ответ в одном флаконе

Всего записей: 3025 | Зарегистр. 24-10-2002 | Отправлено: 22:36 24-11-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сейчас занимаюсь автоустановкой win, может кто подскажет, есть такая команда в cmd, чтобы махом удалить все правила брандмауэра?

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 14:23 04-12-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KiloSub
Голые правила зачем нужны?
Если брандмауэр отключаете, то и отключайте, если настраиваете-то и настраивайте.
Есть команда экспорта\импорта, а там делай чего хочу.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 16:07 04-12-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS у Вас же в шапке:

Цитата:
Отключаем или удаляем все входящие правила M$...
Отключаем или удаляем все исходящие правила M$...

вот я и хочу удалить, а

Цитата:
а там делай чего хочу


Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 16:42 04-12-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KiloSub
Сначала настройте брандмауэр, сделайте экспорт правил, а после, при "автоустановке" (ваши слова), делайте импорт готовых правил. Либо конечную цель опишите, сразу и подробно.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 16:46 04-12-2020
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KiloSub
если самое простое то для блокировки через PowerShell под админом можно так сделать
Код:
$error.Clear()
netsh advfirewall export ("c:\my_firewall_policy_backup_"+(get-date).toString("yyyy-MM-dd-mm-ss")+".wfw")
if($error.Count -eq 0){foreach($p in Get-NetFirewallProfile){Set-NetFirewallProfile -Enabled True -DefaultInboundAction Block -DefaultOutboundAction Block}}
if($error.Count -eq 0){foreach($r in (Get-NetFirewallRule|select Name)){$r;Set-NetFirewallRule -Name ($r.Name) -Action Block}}
по желанию можно дописать "-Enabled True" перед последними }}
 
но если именно как спрашиваешь, т.е. удаление безвозвратно без сохранения и для уверенности убедиться что собственно FireWall включен то так:
Код:
Remove-NetFirewallRule
foreach($p in Get-NetFirewallProfile)
{Set-NetFirewallProfile -Name ($p.Name) -Enabled True -DefaultInboundAction Block -DefaultOutboundAction Block}

Фактически твоя задача ограничена строчкой "Remove-NetFirewallRule"
Только вот современная Windows имеет свойство правила при обновлениях сама без спроса настраивать.

Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 21:28 04-12-2020 | Исправлено: vikkiv, 21:34 04-12-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Remove-NetFirewallRule

vikkiv, Yes, it works!
Думаю, что лучше: до установки системы очистить HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules или уже при установке выполнить команду, или это одно и то же. Попробую, спасибо.

Цитата:
Только вот современная Windows имеет свойство правила при обновлениях сама без спроса настраивать.

Это я заметил - там вообще анархия. Все что угодно при наличии прав туда свои правила кидают.
 

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 06:42 05-12-2020 | Исправлено: KiloSub, 06:57 05-12-2020
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KiloSub
Ну тогда уж повсюду, как минимум из первой:
 
HKLM\SYSTEM\CurrentControlSet\Services\..
1)..SharedAccess\Defaults\FirewallPolicy\FirewallRules
2)..SharedAccess\Parameters\FirewallPolicy\FirewallRules
3)..SharedAccess\Parameters\FirewallPolicy\RestrictedServices\AppIso\FirewallRules
4)..SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System
5)..SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System
 
Команда Remove-NetFirewallRule чистит только из второй ветки
 
Чистка первой ветки обеспечит отсувствие видимых правил при "Restore Default Policy" (иначе восстановится всё на начальные)
 
ну и системные из RestrictedServices на всякий случай (3~5)
 
если делался ручной backup перед экспериментами (на виртуалке естественно) - то он восстановит только 2й и не восстановит 1,3,4,5
 
очистка клонов из ControlSet001 не совсем имеет смысл т.к. это всего-лишь backup от последней успешной загрузки
 
хотя ИМО - наверное прилететь всё равно может откуда-нибудь даже без update-ов,
sys-restore или где у них там хранятся минимальные системные конфигурации для случаев серьёзных сбоев операционки.
 
Добавлено:
Что-то типа такого на PowerShell:
Код:
[Array]$k=@(
"HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules",
"HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules",
"HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\AppIso\FirewallRules",
"HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System",
"HKLM:\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System")
foreach($x in $k){Clear-Item -Path $x}
Естественно Backup нужных веток сначала

Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 07:47 05-12-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv

Цитата:
очистка клонов из ControlSet001

В образе системы (install.wim) только эта ветка и есть и из нее и клонится потом CurrentControlSet.
 

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 08:06 05-12-2020 | Исправлено: KiloSub, 08:51 05-12-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KiloSub
После такой чистки реестра в install.wim, после установки системы видим
через некоторое время уже

Есть два других варианта:
1. При Unattended установке выполнить батник, который импортирует нужные вам правила в брандмауэр и запретит запись в раздел для всех
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
В шапке есть.
2. Пробовать прикрутить в install.wim задание в планировщик, которое и будет выполнять от имени СИСТЕМА, указанный в пункте 1 батник.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 10:22 05-12-2020 | Исправлено: KLASS, 10:28 05-12-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS, спасибо, я так и предполагал, что правила по мере работы сразу накидываются. А есть проверенная ссылка на subinacl? А то в шапке сказано, что не поддерживается.

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 10:54 05-12-2020 | Исправлено: KiloSub, 10:56 05-12-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Еще есть третий вариант, сам не пробовал. Поиграться с настройкой брандмауэра через локальную политику безопасности (secpol.msc)

Раздел в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall
И вот это уже вкручивать в install.wim.
Настройка брандмауэра через secpol.msc имеет приоритет над настройкой
брандмауэра через "Монитор брандмауэра Защитника Windows в режиме повышенной безопасности",
оснастка которого запускается из меню Пуск => Средства администрирования.
После установки системы смотреть, будут ли изменяться правила в локальной политике безопасности после обновления системы.
Думаю, что не будут.
subinacl.exe
Size  : 290 304 Bytes
CRC32 : 90B58A75
MD5   : 53cdbb093b0aee9fd6cf1cbd25a95077
SHA1  : 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
 
Добавлено:
PS. Добавил данные по subinacl.exe в шапку.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 12:21 05-12-2020 | Исправлено: KLASS, 12:42 05-12-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вроде бы получилось заблокировать, экспериментирую еще с прогой superUser64.exe. По крайней мере правила изменить не могу.

Код:
superUser64.exe /w /c subinacl.exe /subkeyreg HKEY_LOCAL_MACHINE\...

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 13:23 05-12-2020
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Исходящие разрешены. Если на этапе установки удаляю правила и блокирую ключ реестра, то потом если обновлять приложения Магазина, у них у всех возникают ошибки, видимо потому, что все они пытаются создать правила, и трындец. Даже Магазин не запускается до тех пор, пока не вернешь возможность записи в реестр.
 
А в целом работает нормально.

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 17:05 05-12-2020 | Исправлено: KiloSub, 17:08 05-12-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru