Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 9734 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 18:23 25-09-2021
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Я просто не понял как между собой коррелируют тунец и облака.
 
Ну да оффтоп это всё.

Всего записей: 20398 | Зарегистр. 15-09-2001 | Отправлено: 11:21 03-04-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
Вместо тунца, облака, для синхронизации iphone с компом. А ты о чем?

Всего записей: 9734 | Зарегистр. 12-10-2001 | Отправлено: 11:35 03-04-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
Вместо тунца, облака, для синхронизации iphone с компом. А ты о чем?
Он же не только для синхронизации нужен - просмотр подкастов (посмотрел в компе, затем продолжил на ноуте, планшете или теле), менеджмент программ, музыка и фильмы, ну и бэкап конечно.

Всего записей: 20398 | Зарегистр. 15-09-2001 | Отправлено: 11:59 03-04-2017
DimonKP



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
2) Во как, а чего это за муть такая?

vuescan - лезет за лицензией (1-ый раз для активации, но при каждом включении зачем?) и обновлениями
virtualbox - обновления
и далее по списку...
 
по мере возможностей пользуюсь портативным софтом.

Всего записей: 98 | Зарегистр. 12-11-2009 | Отправлено: 12:53 03-04-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Универсальное решение для откл-вкл сетевых интерфейсов от мембера mig173.
CNic.exe положить в корень системного диска, чтобы не было проблем с доступом.
Батник запускать от админа. Скрипт универсальный, под конкретную сеть ничего настраивать не нужно. Сканирует все сетевые интерфейсы  и выводит их названия и состояние под номерами. Остается только нажать номер, и состояние изменится на ON или OFF.

Всего записей: 21969 | Зарегистр. 18-07-2006 | Отправлено: 16:16 03-04-2017
DimonKP



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В довершение - это же, только для адаптеров (универсальный скрипт, средствами системы).
Инструкция:
а) поиск адаптеров
wmic nic get name, index
выдаст небольшой список, где названия нужно сопоставить с теми, что в диспетчере устройств (сетевые адаптеры). Запоминаете их индексы из списка (индекс слева, названия справа).
б) создаете 2 батника с названиями Enable ... и Disable ...
в) соответственно содержание для Enable ...
@echo on
timeout /t 3
wmic path win32_networkadapter where index=? call enable
и для Disable ...
@echo on
timeout /t 3
wmic path win32_networkadapter where index=? call disable
г) вместо "?" ставите нужный индекс. Если их несколько - продублируйте строку и впишите последующий.
Время вместо 3 секунд (timeout /t 3) - указываете своё, в секундах.
д) создаёте 2 одноимённых (с батниками) правила в планировщике заданий соответственно при входе\выходе из системы.
Задержки в 10 секунд (10-ти в большинстве случаев) достаточно.
Добавьте в каждом случае выполнение соответствующего скрипта (через "Действие" => "запустить программу").
 
P.S.: проверено на 7-ке и 10-ке, х86, максимальная и LTSB соответственно.

Всего записей: 98 | Зарегистр. 12-11-2009 | Отправлено: 17:09 03-04-2017
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
б) создаете 2 батника с названиями Enable ... и Disable ...  

тут надо учитывать что если этот батник запускается и отрабатывает, то таким же образом может отработать и любой другой... есть ли смысл создавать возможность батникам для отработки в отдельно стоящей машине, в коей юзер не должен иметь возможности менять админские настройки для системы?
 
Добавлено:

Цитата:
если у него есть административные привилегии

а они у него есть ибо установка программ идёт изпод одмина

Всего записей: 1737 | Зарегистр. 03-02-2005 | Отправлено: 18:28 03-04-2017
Artsem K



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
есть смысл клеить антибликовую пленку (чтобы сидеть с ноутбуком на улице) на матовый экран? или просто увеличивать яркость. спасибо.





Всего записей: 252 | Зарегистр. 17-11-2016 | Отправлено: 21:54 03-04-2017 | Исправлено: KLASS, 22:17 03-04-2017
CruSanodeR



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня общее правило для DNS.
Хочу установить AVG PC Tuneup 16, но выходить следующее:

правило такое:

Код:
Netsh.exe Advfirewall Firewall add rule name="AVG PC Tuneup (TCP - исходящий трафик)" dir=out action=allow protocol=TCP program="D:\TempSystem\7zS0E2E6D92\avgsetupx.exe" profile=private,public remoteport=80,443,8080

Всего записей: 204 | Зарегистр. 30-09-2015 | Отправлено: 23:54 03-04-2017 | Исправлено: CruSanodeR, 01:01 04-04-2017
DimonKP



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Us2002

Цитата:
тут надо учитывать что если этот батник запускается и отрабатывает, то таким же образом может отработать и любой другой... есть ли смысл создавать возможность батникам для отработки в отдельно стоящей машине, в коей юзер не должен иметь возможности менять админские настройки для системы?

 
Настроить админом, чтобы конкретные батники запускались от имени "системы" (любого, с полными правами), а конечному пользователю вообще whitelist создать, на запуск нужного.
 
В самом тяжелом случае - на базе батников создаются 2 приложения, а все скрипты запрещаются на глобальном уровне, без исключений.
 
CruSanodeR
Попробуйте добавить входящие.
Или возьмите репак\портативную версию.

Всего записей: 98 | Зарегистр. 12-11-2009 | Отправлено: 09:00 04-04-2017 | Исправлено: DimonKP, 09:06 04-04-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не мешало бы проверить, работает ли это, и как работает:
Запретить приложениям создавать новые правила брандмауэра Windows
Цитата:
1) Открыть "Брандмауэр Windows" -> "Дополнительные параметры".
2) Клик на "Экспорт политики..." в правой части окна, отправить на экспорт настройки брандмауэра Windows (будет создан файл .wfw).
3) Удалить все правила для входящих и исходящих соединений через Ctrl+A -> Удалить.
4) "Панель управления" -> "Администрирование" -> "Локальная политика безопасности".
5) Развернуть дерево Брандмауэра Windows в режиме повышенной безопасности.
6) Из контекстного меню Брандмауэра Windows в режиме повышенной безопасности:
6a) выбрать "Импортировать политику..." и импортировать правила брандмауэра из файла .wfw, созданного на шаге №2.
6b) Клик на "Свойства брандмауэра Windows" -> "Общий профиль" -> "Настроить... параметры" -> "Правила локального брандмауэра: НЕТ":
   
6c) Повторить операцию 6b для "Профиля домена" и "Частного профиля".
7) Сохранить изменения.

Всего записей: 21969 | Зарегистр. 18-07-2006 | Отправлено: 09:03 04-04-2017 | Исправлено: shadow_member, 09:04 04-04-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
После этих телодвижений, существующие правила низя удалить\изменить\отключить, находясь в режиме повышенной безопасности, но можно создавать новые правила, которые в последствии можно также и удалить\изменить\отключить. Если правильно понял, то влияет это только на "объединение правил, создаваемыми локальными админами" с правилами групповой политики.
Т.е. некое разделение, правила из групповой политики трогать низя, а шлепать свои на здоровье.
Как то так. Но приглядется надо, ведь как то запрещает добавление правил надстройка Windоws Firewall Control, вот в этом направлении надо думать, чтобы хоть запрос какой то был при добавлении сторонними прогами своих правил. Или как то это дело (добавление\изменение правил) организовать через ввод пароля.

Всего записей: 9734 | Зарегистр. 12-10-2001 | Отправлено: 10:48 04-04-2017
CruSanodeR



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
для торрента созданы 3 правила:

Код:
netsh advfirewall firewall add rule name="uTorrent (TCP - входящий трафик)" dir=In action=Allow profile=Private,Public program="C:\Users\CruSanodeRus\AppData\Roaming\uTorrent\uTorrent.exe" protocol=TCP localport=26130 remoteport=1024-65535  
 
netsh advfirewall firewall add rule name="uTorrent (TCP - исходящий трафик)" dir=Out action=Allow profile=Private,Public program="C:\Users\CruSanodeRus\AppData\Roaming\uTorrent\uTorrent.exe" protocol=TCP localport=1024-65535 remoteport=1024-65535  
 
netsh advfirewall firewall add rule name="uTorrent (UDP - исходящий трафик)" dir=Out action=Allow profile=Private,Public program="C:\Users\CruSanodeRus\AppData\Roaming\uTorrent\uTorrent.exe" protocol=UDP remoteport=53 remoteip=any

Но торрент не качает, идет постоянный поиск пиров.
В чем проблема?

Всего записей: 204 | Зарегистр. 30-09-2015 | Отправлено: 11:20 04-04-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CruSanodeR
Process Hacker чего кажет в этот момент, т.е. что-то там блокируется?

Всего записей: 9734 | Зарегистр. 12-10-2001 | Отправлено: 11:27 04-04-2017
CruSanodeR



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
в том то и дело, нет ни одной строки, связанный с торрентом...

Всего записей: 204 | Зарегистр. 30-09-2015 | Отправлено: 11:32 04-04-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
svchost remoteip=any?

Всего записей: 21969 | Зарегистр. 18-07-2006 | Отправлено: 11:38 04-04-2017
CruSanodeR



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Код:
netsh advfirewall firewall add rule name="uTorrent (UDP - исходящий трафик)" dir=Out action=Allow profile=Private,Public program="C:\Users\CruSanodeRus\AppData\Roaming\uTorrent\uTorrent.exe" protocol=UDP remoteport=53 remoteip=any

указал диапазон портов remoteport=1024-65535, теперь качает, но что-то скорость небольшая, хотя раздают более 600)
 
Добавлено:
shadow_member
нет, 53. поэтому указал диапазон портов remoteport=1024-65535 в uTorrent (UDP - исходящий трафик)
 
Добавлено:
закачка идет, но медленно.
Хакер выводит это:

Всего записей: 204 | Зарегистр. 30-09-2015 | Отправлено: 11:39 04-04-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CruSanodeR
Пробуйте не указывать удаленный порт по UDP, т.е. все.
 
Добавлено:
У вас вообще UDP для svchost разрешен? Если так, то чего тогда uTorrent ломится

Всего записей: 9734 | Зарегистр. 12-10-2001 | Отправлено: 11:53 04-04-2017
CruSanodeR



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
 

Цитата:
У вас вообще UDP для svchost разрешен?

Да. 53 порт, но uTorrent нужен не только 53...
 
Добавлено:

Цитата:
Пробуйте не указывать удаленный порт по UDP, т.е. все

ТОже самое.

Всего записей: 204 | Зарегистр. 30-09-2015 | Отправлено: 12:02 04-04-2017
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А входящий UDP на локальный 26130 разве не нужен?

----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2195 | Зарегистр. 08-04-2016 | Отправлено: 19:24 04-04-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru