Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
bobjack

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пролечил вин10 с помощью autokms, добавил в исключения, но встроенный защитник продолжает ругаться на
 
rootcert: 648384A4DEE53D4C1C87E10D67CC99307CCC9C98
 
Как это добавить в исключения?

Всего записей: 1 | Зарегистр. 09-02-2011 | Отправлено: 11:06 05-08-2022
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Товарищи вопросец такой назрел. А можно как то сделать чтоб брендмауэр писал только в лог внешние заблочнные адреса и не писал заблоченные адреса локалки?
Я-то сам думаю, что нельзя такого сделать, но на всякий случай переспрашиваю.
Но если и правда нельзя, тогда вопрос такой - попроще. Что надо разрешить чтоб разрешена была только локалка, чтоб вся эта ненужная фигня ушла из логов?

Всего записей: 400 | Зарегистр. 25-02-2012 | Отправлено: 16:47 20-08-2022
Sraboti

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вам надо, чтоб именно не писал локальные адреса или просто надо в итоге получить список внешних?
Если второе подходит, пусть пишет всё, а потом любым текстовым редактором путём "найти-заменить" удаляете адреса по маске 10.*, 192.168.*, 172.16.*

Всего записей: 142 | Зарегистр. 24-04-2007 | Отправлено: 09:12 21-08-2022
Death_INN

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz

Цитата:
А можно как то сделать чтоб брендмауэр писал только в лог внешние заблочнные адреса и не писал заблоченные адреса локалки?

фаер ведет лог, основываясь на записях из журнала событий

Всего записей: 3025 | Зарегистр. 24-10-2002 | Отправлено: 12:07 21-08-2022
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да я думал кто-нибудь скажет именно в терминах предустановленных правил - общий доступ к папкам, диагностика основных сетей и тд. По портам то я и сам примерно знаю. Но из названия "диагностика сетей" же не следует что это пинг. Это надо залазить внутрь правил, смотреть, а было лень, думал кто-то может лазил уже)
 
В итое посмотрел почти вручную. Уже хотел было обрадоваться и скзаать - вот оно святое кромсание винды, телеметрии нет. Но на 4 перезагруку все таки прошмыгнул адресок.

Всего записей: 400 | Зарегистр. 25-02-2012 | Отправлено: 12:47 21-08-2022
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Цитата:
Но на 4 перезагруку все таки прошмыгнул адресок.
Из шапки:
Цитата:
Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.  


Всего записей: 2146 | Зарегистр. 01-12-2009 | Отправлено: 13:46 21-08-2022
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Caravelli
 
Да не, не во время загрузки, уже во время работы прошмыгнул. Я по "госту" из шапки все давно сделал. Просто внезапно любопытство взыграло посмотреть - а чего и сколько там вобще блочится, какова интенсивность этой подковерной борьбы брендмауэра с сетевыми пакетам.
 
Похоже бренд большую часть времени борется с пакетами локалки, если настраивать как в шапке - рубит всякую широковещательную и нетбиосовскую фигню, чем очень сильно портит вид лога) Получается лог не перециониста, а ерунда какая-то)
 
Добавлено:
*перфекциониста.  
 
кнопка "edit" у сообщений была бы кстати. Очепятки ж

Всего записей: 400 | Зарегистр. 25-02-2012 | Отправлено: 14:38 21-08-2022
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz

Цитата:
Просто внезапно любопытство взыграло посмотреть - а чего и сколько там вобще блочится

Я бы смотрел, что проходит через брандмауэр.
По другому: как я настроил брандмауэр, проходит ли что, чего я не разрешал. )
 
Добавлено:
PS. Если вы запретили все, то все и блочится, кроме того, что вы разрешили.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 19:47 21-08-2022
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Адресок, о котром я писал выше промелькнул лишь потому, что самовольно включилась служба WU, в новой тестовой бетке ее уже выходит не служба WaaSMedic заводит, а что-то другое. Отлкючил службу - и стало чисто в логах.
В целом же хочется скзазать вот такую вещь - в местном комьюнити такой факт не озвучивался. Если в лоб отключать в винде (а иногда и удалять непокорные) службы, которые ломятся в сеть, кроме дхцп и днс, в конечном итоге вы получите все еще загружающуюся, способную устанавливать и запускать классический софт винду. Но винду "хромую на одну ногу", потому как неизбежно прийдете к необходимости оключения appxsvc, она за собой потянет много чего. Это эксперимент из разряда - установи дум на микроволновку. Никому не нужно, но довольно любопытно.
 
Добавлено:
*загружающуюся, способную устанавливать и запускать классический софт винду без телемерии - ну вы поняли)
Хотя в целом на такой винде еще есть сценарии где будут коннекты во вне. Упало приложение - запустился werfault - и пошел отчет об ошибке. Но это все допиливается. Я лишь тут общую мысль высказал - что в НЕОБХОДИМЫХ для жизни винды компонентах все еще нет телеметрии

Всего записей: 400 | Зарегистр. 25-02-2012 | Отправлено: 09:40 23-08-2022
gutasiho

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Разработчик Windows Firewall Control работает над самостоятельным продуктом, который сможет управлять той частью правил брандмауэра, которая не видна в WFC и WFwAS  и управляется через редактор локальной групповой политики.

Всего записей: 6230 | Зарегистр. 14-09-2020 | Отправлено: 19:11 25-08-2022
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gutasiho
 Когда уже научитесь? Название раздела читаем и... идем лесом, пока не выписал, ага.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 19:25 25-08-2022
Chekushka05

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
del

Всего записей: 86 | Зарегистр. 31-03-2022 | Отправлено: 13:20 31-08-2022 | Исправлено: Chekushka05, 13:38 31-08-2022
Muznark



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ищу утилиту командной строки, для добавления правила брандмауера в группу.

Всего записей: 518 | Зарегистр. 16-11-2004 | Отправлено: 04:48 01-09-2022
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Muznark

Цитата:
ищу утилиту командной строки, для добавления правила брандмауера в группу.

netsh?

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 09:22 01-09-2022
gutasiho

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добавление правил командой netsh не позволяет задать имя группы, а добавить в существующую - не знаю.

Всего записей: 6230 | Зарегистр. 14-09-2020 | Отправлено: 14:52 01-09-2022
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gutasiho
PowerShell? напр:

Код:
New-NetFirewallRule -DisplayName '_my_testRule' -Group 'MyTestFWGroup' -Enabled False -Direction Outbound -Action Block -Profile Any -RemoteAddress '10.10.5.5'

 
Добавлено:
или для изменения существующего правила через "Set-NetFirewallRule"

Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 17:10 01-09-2022
strestemp

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
!!! Брандмауэр пропускает соединения svchost.exe по протоколу UDP на порты 500 и 4500 при установки соединения VPN IKEv2. При любой настройке брандмауэра - в том числе и явной конкретной блокировки этого соединения!  
 
Логи через "Windows Firewall Control":
 
Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности | C:\windows\system32\svchost.exe | Allow | Out | лок.адрес | 4500 | удл.адрес | 4500 | UDP | IKEEXT
 
Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности | C:\windows\system32\svchost.exe | Allow | Out | лок.адрес | 500 | удл.адрес | 500 | UDP | IKEEXT
 
Был удивлен, не то слово ...

Всего записей: 26 | Зарегистр. 27-02-2012 | Отправлено: 03:22 30-09-2022 | Исправлено: strestemp, 03:25 30-09-2022
PaulPSS

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
!!! Брандмауэр пропускает соединения svchost.exe по протоколу UDP на порты 500 и 4500 при установки соединения VPN IKEv2. При любой настройке брандмауэра - в том числе и явной конкретной блокировки этого соединения!  

А вот это интересно. Возможно, правило прописано в скрытых правилах фаерволла

Всего записей: 26 | Зарегистр. 19-05-2014 | Отправлено: 08:50 30-09-2022
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
strestemp

Цитата:
!!! Брандмауэр пропускает соединения svchost.exe по протоколу UDP на порты 500 и 4500 при установки соединения VPN IKEv2. При любой настройке брандмауэра - в том числе и явной конкретной блокировки этого соединения!

Какой? Встроенный в винду? Если да, то:
 
"!!! Это совершенная чушь!"


Цитата:
Возможно, правило прописано в скрытых правилах фаерволла

Про какой это файрвол? Встроенный в винду? Если да, то:
 
"!!! Это совершенная чушь т.к. нет там никаких скрытых правил!"


----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 13:34 30-09-2022 | Исправлено: WildGoblin, 23:16 01-10-2022
karlsuom

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Брандмауэр я оставляю по умолчанию

Всего записей: 4 | Зарегистр. 06-09-2022 | Отправлено: 16:36 30-09-2022
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru