Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 9734 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 18:23 25-09-2021
KiloSub



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules

Всего записей: 394 | Зарегистр. 30-05-2020 | Отправлено: 15:55 10-07-2021
utiman

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
 

Цитата:
три финта, блокировать доступ к определенному кусту реестра (в теме это есть), использовать надстройку Windows Firewall Control с включенной опцией "Secure Rules" ("Защищать правила"), использовать сторонний фаервол

 
Windows Firewall Control с включенной опцией "Secure Rules" - это защита только от пользователя через gui, от программной модификации правил не защищает (через netsh advfirewall например).

Всего записей: 10 | Зарегистр. 27-01-2009 | Отправлено: 19:27 12-07-2021
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
utiman
http://forum.ru-board.com/topic.cgi?forum=5&topic=37044&start=1180#14

Всего записей: 21970 | Зарегистр. 18-07-2006 | Отправлено: 08:32 14-07-2021
KiloSub



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Меня тут все унижают, убить всех  
 
 
netsh advfirewall set allprofiles settings unicastresponsetomulticast disable
netsh advfirewall set allprofiles settings inboundusernotification disable
netsh advfirewall firewall delete rule name=all
netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound
 
спасибо.

Всего записей: 394 | Зарегистр. 30-05-2020 | Отправлено: 10:08 21-07-2021 | Исправлено: KiloSub, 14:58 21-07-2021
masterlola

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Secure Rules option enabled, protects against any unwanted changes to the firewall configuration  
 
1. Bring up Run dialog by pressing Win + R key combination.
 
2. Type "mmc.exe wf.msc" in the box and click OK
 
3. when "Windows Defender Firewall with Advanced Security" Console comes up,  
right mouse click on "Windows Defender Firewall with Advanced Security on Local Computer" and choose "Export Policy..."
save as example Desktop\"firewallrule.wfw"
Ссылка
 
1. Bring up Run dialog by pressing Win + R key combination.
 
2. Type "gpedit.msc" in the box and click OK. Then local Group Policy Editor will open.
 
3. Open Local Computer Policy, Windows Settings\Security Settings\Windows Defender Firewall with Advanced Security - Local Group Policy Object
 
right mouse click on "Windows Defender Firewall with Advanced Security - Local Group Policy Object" and choose "Import Policy...",
select the previously saved "firewallrule.wfw" and import.
 
Ссылка
 
 
Добавлено:
follow:
 
1. mouse click on "Windows Defender Firewall with Advanced Security - Local Group Policy Object" in the right window, open  "Windows Defender Firewall Properties"
 
2. A new pop-up  will open.  
In each Profile (Domain, Private, Public) do the same, open Setings ==> Customise, in new pop-up select  
 "Apply local firewall rules": No, and "Apply local connection security rules": No ==> OK
 
3.PNG, 4.PNG , 5.PNG
 
 
3. Open the cmd console as administrator and type: "netsh advfirewall firewall delete rule name=all"
It will remove all the previous  Windows Firewall Rules, every new created windows system adds rules or other software rules will be ignored.
You will now create new working or modify existing firewall rules only from Group Policy Editor.

Всего записей: 58 | Зарегистр. 30-08-2015 | Отправлено: 17:38 22-07-2021 | Исправлено: masterlola, 12:59 23-07-2021
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
masterlola
Это ничего, что я с вами на вы
п. 1. главы VI Соглашения по использованию
Даже не читал, ага.

Всего записей: 9734 | Зарегистр. 12-10-2001 | Отправлено: 17:51 22-07-2021
masterlola

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
 
 
Я не знаю русского, извините, удалите если не в порядке  

Всего записей: 58 | Зарегистр. 30-08-2015 | Отправлено: 18:28 22-07-2021
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
masterlola
Все в порядке, правила, которые меня устраивают... не более.
 
Добавлено:
https://translate.yandex.ru/?lang=en-ru&text=Hide%20Unchanged%20Items
Учимся общаться

Всего записей: 9734 | Зарегистр. 12-10-2001 | Отправлено: 18:40 22-07-2021
gutasiho

Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
masterlola
Плиточные приложения, приложения, меняющие свой путь при обновлении, так же не смогут создать или модифицировать правила?

Всего записей: 1167 | Зарегистр. 14-09-2020 | Отправлено: 18:50 22-07-2021 | Исправлено: KLASS, 08:06 23-07-2021
masterlola

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gutasiho
 
Каждая новая созданная система Windows добавляет правила, или другие правила программного обеспечения будут игнорироваться. все правила локального брандмауэра будут проигнорированы
 
Вы сможете создавать новые правила или изменять существующие правила брандмауэра только из редактора групповой политики.  
 
 

Всего записей: 58 | Зарегистр. 30-08-2015 | Отправлено: 20:20 22-07-2021 | Исправлено: masterlola, 23:26 23-07-2021
RemComm



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Может, кому-то встречалась диаграмма прохождения пакетов через виндовый файрвол (навроде как для iptables описано)?

Всего записей: 825 | Зарегистр. 30-09-2003 | Отправлено: 03:36 29-08-2021
grmmx

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую всех
 
Возможно кто-нибудь уже замечал такой любопытный момент с брандмауэром:
 
Если заглянуть в Event Viewer, в журнал "Microsoft > Windows > Windows Firewall With Advanced Security > Firewall", и отфильтровать его события по ID 2004 и 2006, то можно заметить автоматически добавляющееся в брандмауэр правило "WinDefend Outbound for TCP". И всё бы ничего, но правило-то разрешающее. Причём, заметьте, правило постоянно нерегулярно пересоздаётся - удаляется предыдущее, потом добавляется новое, уже с новым ID.
 
Пример:
 

Код:
 
ID правила:                 добавлено/удалено:
915538B4-E8D3-44E5-BC65-860EA9C385EE + 06.07.2021 20:09:22
915538B4-E8D3-44E5-BC65-860EA9C385EE - 07.07.2021 23:52:30
2CA20EF1-22F8-44CB-9B09-89D8D727D8BF + 07.07.2021 23:52:30
2CA20EF1-22F8-44CB-9B09-89D8D727D8BF - 09.07.2021 2:37:54
866C3A6C-A61A-4997-878E-E2807FAD1E38 + 09.07.2021 2:37:54
866C3A6C-A61A-4997-878E-E2807FAD1E38 - 10.07.2021 4:09:06
3BB9D1C1-589A-4EAA-9D71-DEF0F4E34B11 + 10.07.2021 4:09:06
3BB9D1C1-589A-4EAA-9D71-DEF0F4E34B11 - 10.07.2021 15:36:33
16295EF7-2F02-41E9-B4A1-E89C34C9C041 + 10.07.2021 15:36:33
 

 

Код:
 
Имя журнала:   Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
Источник:      Microsoft-Windows-Windows Firewall With Advanced Security
Дата:          10.07.2021 15:36:33
Код события:   2004
Категория задачи: Отсутствует
Уровень:          Сведения
Описание:
В список исключений брандмауэра Защитника Windows добавлено правило.
 
Добавленное правило:
    ИД правила:  {16295EF7-2F02-41E9-B4A1-E89C34C9C041}
    Имя правила: WinDefend Outbound for TCP
    Источник:    Локальный
    Активно:     Да
    Направление: Исходящий
    Профили:     Частный, домен, публичный
    Действие:    Разрешить
    Путь приложения:    C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0\MsMpEng.exe
    Имя службы:  WinDefend
    Протокол:    TCP
    Параметры безопасности: Отсутствует
    Обход узлов: Отсутствует
    Изменивший пользователь: СИСТЕМА
    Изменившее приложение:   C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0\MsMpEng.exe
 

 
И вот закралось у меня сомнение - а не является ли это скрытое правило "бэкдором"?

Всего записей: 2 | Зарегистр. 09-06-2019 | Отправлено: 22:01 30-08-2021
blizard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
grmmx
Можно попробовать удалить их отсюда
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System
 
И еще эти
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\AppIso\FirewallRules

Всего записей: 53 | Зарегистр. 19-02-2018 | Отправлено: 00:48 31-08-2021
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
grmmx
Самостоятельно создавать правила могут любые приложения, работающие с повышенными привилегиями.
Binisoft Windows Firewall Control обладает уникальной способностью отключать или удалять правила, созданные не из интерфейса WFC. Еще раньше использовался способ блокирования для всех пользователей доступа к кусту реестра с правилами.

Всего записей: 21970 | Зарегистр. 18-07-2006 | Отправлено: 19:32 31-08-2021
Germanus



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Binisoft Windows Firewall Control обладает уникальной способностью отключать или удалять правила

В чем его уникальность? Malwarebytes Windows Firewall Control точно так же отключает, при установке соответствующей птички, все что создано не им.

Всего записей: 4274 | Зарегистр. 08-06-2003 | Отправлено: 21:29 31-08-2021
grmmx

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
blizard

Цитата:
И еще эти
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\AppIso\FirewallRules
Насколько я понял, здесь хранятся правила Магазина Windows (Microsoft Store). Сомневаюсь, что удаление правил Магазина как-то повлияет на правила Windows Defender'а.

Цитата:
Можно попробовать удалить их отсюда
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System
Пишут, что это старый путь для правил Магазина. В новых версиях Windows 10 его сменили на "...\RestrictedServices\AppIso\FirewallRules", при этом старая ветка осталась. Соответственно её удаление ни на что не повлияет. К тому же, правило "WinDefend Outbound for TCP" создаёт Windows Defender, а ему всё равно, пустая ветка или нет - правило с новым ID всё равно пропишет.
 
shadow_member

Цитата:
Binisoft Windows Firewall Control обладает уникальной способностью отключать или удалять правила, созданные не из интерфейса WFC. Еще раньше использовался способ блокирования для всех пользователей доступа к кусту реестра с правилами.
Да, читал о таком способе, но мне пока достаточно работы в GPO с запретом правил и настроек локального брандмауэра.
 
Ладно, учитывая, что Windows Defender создаёт правило в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System], будем надеятся, что это правило всего лишь артефакт, и не открывает в системе "заднее кЫрильцо".

Всего записей: 2 | Зарегистр. 09-06-2019 | Отправлено: 21:35 31-08-2021
I95

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Germanus post
Цитата:
Malwarebytes Windows Firewall Control точно так же отключает
Binisoft был куплен Malwarebytes.
Binisoft Windows Firewall Control = Malwarebytes Windows Firewall Control.
 

Всего записей: 1031 | Зарегистр. 20-03-2009 | Отправлено: 07:31 01-09-2021
RemComm



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Правильно ли я понимаю, что дефендер не обучен делать правила по неполному пути, например, когда надо заблокировать все в каталоге или по маске?
 
Возникла необходимость сделать безопасность сетки с использованием только встроенных в Виндовс компонентов, да гуглевание ни к чему не приводит.

Всего записей: 825 | Зарегистр. 30-09-2003 | Отправлено: 16:23 14-09-2021 | Исправлено: RemComm, 16:24 14-09-2021
gutasiho

Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RemComm
Правильно, брандмауэр Windows не поддерживает подстановочные символы (wildcards).

Всего записей: 1167 | Зарегистр. 14-09-2020 | Отправлено: 08:57 16-09-2021
4r0

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
grmmx
Скорее всего это именно бекдор.
Пробовал удалить все разрешающие правила из RestrictedServices, вроде ничего не изменилось, но через несколько дней понадобилось загрузиться в безопасный режим и после перезагрузки Интернет пропал (не мог получить IP и обнаружить настройки сети типа серверов DNS, шлюза и т.п.), отключение брандмауэра для всех зон через интерфейс брандмауэра не помогло, помогла только остановка службы MpsSvc. После восстановления ранее сохранённого бекапа раздела RestrictedServices проблема исчезла.
Из чего делаю вывод, что те правила активно используются и скрыты в отдельном разделе специально, чтобы пользователь не мог их отключить или удалить без дополнительных телодвижений.
 
KLASS
Что скажешь о правилах брандмауэра, скрывающихся в подразделах HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices ???
Какие из разрешающих правил можно безопасно удалить? И как обрубить винде возможность гадить через разрешающие правила в подразделах RestrictedServices?

Всего записей: 679 | Зарегистр. 26-01-2010 | Отправлено: 09:55 24-09-2021
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru