Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Добавил описание про пошик в шапку. А ты будь добр, добавь комментарии к каждой строчке скрипта пошика, иначе нелогично получается. Пишешь простыни и, по твоим же словам получается, что плодишь юзеров-халявщиков. Если не будешь писать пояснения, то они так ничему и не научатся, а будут ждать скрипты от тебя.

Цитата:
юзерствующий KLASS  

Ну все, выучил (при том не до конца) PowerShell и уже в разработчиках числится

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 11:03 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
нелогично получается у тебя: материшь мои "простыни" - и одновременно требуешь, чтобы я их ещё удлинил.
 
Кто действительно решит поиграться с этим в ISE - быстро сам разберётся: там везде подсказки
Можно задавать мне вопросы по существу, здесь или в специальной теме Варезника.
 
Есть гайды по хорошим практикам комментирования (впрочем самоочевидным): такой код комментировать не надо, чтобы _не ухудшить_ его читаемость.
 

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 11:12 08-03-2017 | Исправлено: LevT, 11:14 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Простыни прятать надо, это раз.
А два, описание приветствуется... и скока бы ты не посылал учить пошик (в каждом посту), пошиковцев от этого в теме не добавилось.

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 11:15 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Его не обязательно учить: можно просто пользоваться.
А потом втягиваешься... если хочешь получить больше возможностей.

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 11:17 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Бла-бла-бла... описание добавь, пожалуйста

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 11:18 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что именно там непонятно?

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 11:19 08-03-2017
pangasiys



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а почему в шапке не написано к какой оси относится брандмауер ? например к XP подойдёт ?

Всего записей: 6405 | Зарегистр. 05-06-2012 | Отправлено: 11:23 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Все непонятно тому, кто жамкнет сЦылку и увидит простыню.
Коль бы ты добавил описание, то пользователь, прочитав оное, мог бы быстрее заинтересоваться внутренними возможностями системы, по-моему это очевидно. Что так долго мы это обсуждаем?
 
Добавлено:
pangasiys

Цитата:
например к XP подойдёт ?

Попробуй любую команду и напиши тут. Я вот уже и не помню чего там в ХР.
PowerShell тебе явно не поможет.

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 11:24 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Описание.
 
Пошик позволяет создавать инструменты для повторного использования другими людьми в другом окружении.
Инструменты называются командлетами, они могут распространяться в модулях.
 
Командлет Export-NetshFirewallRule берёт массив правил фаервола и экспортирует их в текстовом формате для команды netsh
 
Инструментом управляет скрипт-контроллер, который в данном случае состоит из двух нижних строчек.
Первая получает правила фаервола, отфильтрованные по заданным ключам. Командлет Get-NetFirewallRule содержится в модуле NetSecurity начиная с Windows 8.1
 
Вторая пропускает их через представленный командлет.

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 11:27 08-03-2017 | Исправлено: LevT, 11:43 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Пост твой "умрет" (со следующей страницы), а ссылка в шапке будет жить "вечно"

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 11:31 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Попробуй любую команду и напиши тут. Я вот уже и не помню чего там в ХР.
PowerShell тебе явно не поможет.

 
на XP можно установить Powershell старой 2-й версии.
Адаптировать для него современные скрипты - занятие трудоёмкое.

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 11:35 08-03-2017 | Исправлено: LevT, 11:38 08-03-2017
pangasiys



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
скажите пож - а ваша локализованная сборка ПроцессХакер порташная или установочная ?
 
Добавлено:
скачал - в описании вроде порташкая - ну и отлично - ага

Всего записей: 6405 | Зарегистр. 05-06-2012 | Отправлено: 11:42 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pangasiys
Тут обсуждаем перевод, потому там и ответил.

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 11:50 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pangasiys
А нафига засорять полезный сигнал в теме шумом - если можно сразу скачать?





А нафига модерировать... укушу

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 11:50 08-03-2017 | Исправлено: KLASS, 11:55 08-03-2017
pangasiys



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
ну чтоб сразу не качать а сперва выяснить - стоит скачивать или нет - потому что мне нужна именно порташная - вот и спросил сперва




Хватит уже тут порожняк обсуждать

Всего записей: 6405 | Зарегистр. 05-06-2012 | Отправлено: 11:54 08-03-2017 | Исправлено: KLASS, 11:55 08-03-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Возможно, стоит в ссылку на PowerShell в шапке добавить способ запуска файлов .Ps1 от админа http://rgho.st/64Jkn7CPY
 

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 12:12 08-03-2017
Gosuto



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Командлет Export-NetshFirewallRule берёт массив правил фаервола и экспортирует их в текстовом формате для команды netsh  

LevT, а, допустим, вот решил я переустановить винду, и сохранил этот массив. Можно ли:
-импортировать этот массив в свежеустановленную, с powershell [подозреваю, что можно, раз есть командлет Export-NetshFirewallRule, то, по идее, должен быть и Import-NetshFirewallRule]
-импортировать с powershell правила выборочно, т.е. загрузил в него массив, выбрал оттуда пяток, и пакетно импортируешь в систему.
Так-то я, хз.. ...но, как любитель, справлюсь?
 
 
Добавлено:
команду импорта бы... чтоб не мучаться. если есть. а то недолюбливаю курить мануалы.

Всего записей: 5619 | Зарегистр. 09-11-2015 | Отправлено: 12:13 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gosuto

Цитата:
команду импорта бы... чтоб не мучаться. если есть. а то недолюбливаю курить мануалы.

 
в данном случае это cmd  )
поскольку решена именно задача поставленная KLASS
 
 

Цитата:
LevT, а, допустим, вот решил я переустановить винду, и сохранил этот массив.

 
сохранять CimInstances бесполезно: они живые, пока жива винда.
 
Для того, чтобы применить выбранные правила в другой винде, надо на ней собрать новые правила с заданными свойствами.
Тут возможны нюансы, потому что часть нужных правил уже существует (Set-NetFirewallRule), а часть ещё нет (New-NetFirewallRule).
 
для экспорта скорее всего достаточно
 
Get-NetFirewallRule -с нужными ключами | Where <чтототам> | Select <нужные свойства> | Export-Clixml -Depth <подобрать,чтобы экспортировались фильтры>
 
недостаток: будет много лишнего,  
преимущество: а вдруг потом понадобится что-то "лишнее" сейчас?
 
 
...ну или собрать из только нужных свойств объект для экспорта вместо [string[]]$netsh

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 12:46 08-03-2017 | Исправлено: LevT, 13:14 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Ага, добавил... привык к нему и забыл, что по умолчанию его нет

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 12:47 08-03-2017
Gosuto



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну... ясно, короче, херня тогда. овчинка выделки не стоит.
проще тогда с парсером Ратиборуса: экспортировал правила, в новой - импортировал нужные с cmd.
А если он допилит свою утилиту, чтоб она сама экспорт-импорт правил делала, вообще здорово будет. И не нужны священные пляски вокруг powershell ise

Всего записей: 5619 | Зарегистр. 09-11-2015 | Отправлено: 12:59 08-03-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru