Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
MR_DesigneR



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
беспредел в общем

Не беспредел, а системная демократия, - настройки по дефолту  учитывают потребности любого чайника))

Всего записей: 14549 | Зарегистр. 06-09-2014 | Отправлено: 20:18 26-06-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Inoz2000
Из шапки

Цитата:
 Отключаем все входящие правила M$,


Цитата:
 Отключаем все исходящие правила M$

т.е. отключаем почти все (кроме DHCP), что идет по умолчанию, а у тебя еще куча правил от стороннего ПО, причем с дерьмократией
Акула бы повисла при таком потоке слива

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 20:20 26-06-2017 | Исправлено: KLASS, 20:24 26-06-2017
Still777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сегодня оставил Акуленка на  5 часов, естественно, закрыв все приложения, результат аналогичный - пока все чисто.
Кстати, я не отключал правила, а просто удалил их все, выделив ctrl A - получается в прямом смысле пустой белый лист, а дальше уже сам добавляю нужные програмки, в исходящих у меня сейчас около 10 прог, во входящих - 0 пустой список, так намного проще ориентироваться что к чему.
И еще, в отличии от инструкции в шапке, у меня в профилях в Входящих выставлено не Блокировать по умолчанию, а Блокировать все подключения, хотя хз есть ли в этом толк.
 

Всего записей: 124 | Зарегистр. 14-12-2014 | Отправлено: 23:07 26-06-2017
Inoz2000



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
куча правил от стороннего ПО
значит последовательность действий получается чуть иная, чем в шапке:
Первым пунктом должен идти 'вернуть правила брандмауэра по умолчанию.' а потом «три картинки» и далее…
тогда ничего стороннего не будет и отключение правил M$ пройдет как задумано.
 
Добавлено:
ну да, можно же так
Цитата:
просто удалил их все, выделив ctrl A



----------
Мы все умрём. (-:

Всего записей: 4891 | Зарегистр. 23-04-2009 | Отправлено: 23:07 26-06-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Inoz2000
Изменил, а про шапку другой раз здесь
 
Добавлено:
Still777

Цитата:
у меня в профилях в Входящих выставлено не Блокировать по умолчанию, а Блокировать все подключения

Если создать правило для входящих, оно не будет работать, т.е. запрещены все входящие, включая разрешенные правила.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 09:04 27-06-2017
Still777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
После таких настроек брандмауэра перестает работать ping и tracert, чтобы исправить это, надо добавить экзешники этих утилит в список разрешенных (лучше всего прописать с прямым путем: C:\Windows\System32\PING.EXE и C:\Windows\System32\tracert.EXE), затем создать новое "Настраиваемое" правило , протокол ICMPv4, внизу нажать "Настроить" и включить "Эхо-запрос".

Всего записей: 124 | Зарегистр. 14-12-2014 | Отправлено: 11:17 27-06-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
После таких настроек брандмауэра перестает работать

ВСЁ, чему нужна Локальная сеть или Интернет, кроме DHCP и добавлять нужно то, что необходимо (индивидуально) каждому для комфортной работы )

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 11:39 27-06-2017 | Исправлено: KLASS, 11:45 27-06-2017
Still777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS, это все и так ясно
 Я добавил эти правила специально, так как они имеют нюанс, если просто добавить их экзешники в разрешенные, то пинг не заработает, надо  

Цитата:
создать новое "Настраиваемое" правило , протокол ICMPv4, внизу нажать "Настроить" и включить "Эхо-запрос".

И часто бывает так, что надо обязательно прописывать полный путь к прогам(не только этим), без сокращений по умолчанию, иначе они не заработают.  
По крайней мере на вин 7.

Всего записей: 124 | Зарегистр. 14-12-2014 | Отправлено: 14:41 27-06-2017 | Исправлено: Still777, 14:42 27-06-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Still777

Цитата:
это все и так ясно

Так я для того и написАл (не тебе, а читающим), а то прочтя твой пост, можно подумать, что только ping и tracert не будут работать... а любимая игрушка, если не заработает, мы же прокляты будем
В другой раз так и пиши без фразы

Цитата:
После таких настроек брандмауэра

а просто, для того, чтобы заработал ping создаем правило,
для того, чтобы заработала игрушка, создаем правило и т.д.
Шапка-это всего лишь шаблон начальной настройки и не надо на нее кивать при каждом чихе
PS. К тому же, так уверенней будет выглядеть твой пост, сообщающий в деталях о правиле для определенной программы.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 14:57 27-06-2017 | Исправлено: KLASS, 15:07 27-06-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Попробуй разобраться, что это и настолько важно, возможно, это способ закрыть какие-либо дыры (скрины просто к сведению, чтобы знать, куда кликать):
Если исполняемый файл является контейнером для одиночного сервиса или множества сервисов (svchosts.exe), а правило нужно применить только к одному из них, нужно создать правило для %SystemRoot%\system32\svchost.exe, открыть Свойства правила и отредактировать его:
- в Параметрах служб выбрать "Применять к службе:".
- Выбрать службу из списка.
Если служба отсутствует в списке, выбрать "Применять к службе с следующим кратким именем..." и вписать короткое имя службы, затем ОК... ОК.
Важно!
Для применения правила к сервису, выбранному из списка, или к сервису с коротким именем, нужно сконфигурировать этот сервис с использованием SID (Security Identifier):
- открыть в Process Hacker Свойства службы -> Others -> в SID Type вместо None выбрать RESTRICTED или UNRESTRICTED -> ОК.
И только теперь правило фаервола начнет действовать только к указанной службе.  

Ad
Цитата:
WebDAW
Увы!

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 11:43 28-06-2017 | Исправлено: shadow_member, 13:30 28-06-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Я понял ход мыслей, плюс к этому ограничить поход того же svchost по IP-адресам, например, при подключении по WebDAW. Кстати, не разбирался, какая именно служба svchost нужна при подключении по WebDAW?

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 12:09 28-06-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Касаемо WebDAW.
Достаточно одного правила, где любая программа (там и svchost нужен и net.exe и вроде system)
и любой протокол (нужны и TCP и UDP), но ограничено правило IP адресами DNS провайдера и адресами
по WebDAW на ЯДиск, а именно 87.250.250.53,87.250.251.53,213.180.193.53,213.180.204.53.
 
Добавлено:
ПЫСЫ. Причем правило, включаемое через батник только на момент передачи\скачивания и сразу отключаем его.
 
Добавлено:
А если так. Все правила для программ из белого списка по умолчанию выключены,
т.е. по сути имеем включенное одно правило DHCP-исходящее, как только появляется процесс,
скажем, браузера, то в брандмауэр летит команда для включения нужных правил для работы браузера,
а по закрытии браузера команда на отключение тех правил. Т.е. в фоне висит батник,
который и пасет за появлением\завершением известных процессов ибо не фиг правилам
вообще без дела быть включенными

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 16:46 28-06-2017
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
это отдалённый аналог тригерного включения одного порта через другой, очень специфическое и ограниченое применение, зачем оно? итак же есть конкретная программа с конкретным путём, набор разрешенных протоколов и адресов для неё, ну и служб с ней взаимодействующих

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 01:52 29-06-2017
aliv



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, пожалуйста, по ссылке на отключение "кейлогеров и прочей фигни винды" от westlife, там все в итоге ведет в эту тему (написано про другую тему, а там написано, что все не актуально и смотреть в эту тему).
 
Я правильно понимаю, что сегодня все отключалки и вырезалки из инсталляции Windows 10 уже не актуальны, а вся игра по отключению сводится просто к настройке firewall'а методами, которые описаны в этой теме. Типа все закрыть, а потом по чуть-чуть открывать только то, что нужно для конкретных программ?
 
Я правильно понял суть борьбы с кейлогерами кортанами и прочей фигней?
 
Спасибо.

Всего записей: 264 | Зарегистр. 23-04-2003 | Отправлено: 13:52 13-07-2017
MR_DesigneR



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aliv

Цитата:
Я правильно понял суть борьбы с кейлогерами кортанами и прочей фигней?  

Тут каждый решает сам для себя. Я например рублю ненужные мне службы и задания планировщика, ну и политики иногда ковыряю... Однозначного ответа на ваш вопрос нет...

Всего записей: 14549 | Зарегистр. 06-09-2014 | Отправлено: 13:56 13-07-2017
aliv



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MR_DesigneR
Я до сих пор сижу на 8.1 Enterprise, причем задушил обновления с сентября 2015, если мне не изменяет память, как раз, когда начались попытки от МС встунуть свою телеметрию в 8.1 и навязчивые обновления для установки 10 поверх 8.1. Файрволом задушил все открытые наружу порты и несколько раз патчился отдельными security updat'ами. Но все хотел попробовать перейти на 10, но только в варианте, если смогу отрубить все ненужные свистелки и фигню, типа кейлогеров, которые я ситаю вообще уже ни в какие ворота.
 
Поэтому, собственно, и ищу варианты. Долго вообще не мониторил ситуацию. Последнее, что помню, что вырезали сервисы и куски прямо из дистрибутива. Пришел еще раз почитать, а тут:
http://forum.ru-board.com/topic.cgi?forum=62&topic=30041&start=7720
написано смотреть сюда:
http://forum.ru-board.com/topic.cgi?forum=2&bm=1&topic=5493&start=2420
 
а тут написано, что тема не актуально и смотреть в эту тему, где я сейчас пишу.
 
Вот я и сделал вывод о том, что возможно уже отказались от резалок в дистрибутиве.
 
Я понимаю, что есть несколько способов. Просто может кто-то для себя уже сравнение сложил в голове и может поделиться плюсами и минусами?

Всего записей: 264 | Зарегистр. 23-04-2003 | Отправлено: 14:32 13-07-2017
MR_DesigneR



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aliv
Здесь посмотрите...

Всего записей: 14549 | Зарегистр. 06-09-2014 | Отправлено: 14:37 13-07-2017
aliv



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MR_DesigneR
Спасибо, это почитаю. Но пока основной вопрос - все таки идти по пути отрезания firewall'ом или по пути отрезания чего-то из дистрибутива, а потом firewall?

Всего записей: 264 | Зарегистр. 23-04-2003 | Отправлено: 14:50 13-07-2017
MR_DesigneR



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aliv

Цитата:
Но пока основной вопрос - все таки идти по пути отрезания firewall'ом или по пути отрезания чего-то из дистрибутива, а потом firewall?

Я же говорю, всё зависит от личных задач... Мне например настройка фаера - бесполезная, а порой и вредная суета, а для кого-то панацея от всех неприятностей...))

Всего записей: 14549 | Зарегистр. 06-09-2014 | Отправлено: 15:06 13-07-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aliv

Цитата:
...а вся игра по отключению сводится просто к настройке firewall'а методами, которые описаны в этой теме.
Если задача только в том чтобы перекрыть любую утечку, то в принципе да - можно обойтись одним фаерволом.
 
Добавлено:
MR_DesigneR

Цитата:
Здесь посмотрите...
Хорошая ссылка и инфа там постоянно обновляется!

Всего записей: 29107 | Зарегистр. 15-09-2001 | Отправлено: 15:09 13-07-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru