Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Из описания темы видно, что речь пойдет о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии,
    вся "борьба" с которой сводится к отключению\перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик), но оставив это правило DNS помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд. Потому для верности, создавайте правила DNS для каждой программы из белого списка (разрешить UDP исходящее соединение, удаленный порт 53), а правило Основы сетей - DNS (UDP - исходящий трафик) предпочтительно тоже отключить. Отключив правило, обязательно отключите службу DNS-клиент
    Все, Интернета - нет, как и нет любых других соединений (кроме DHCP), включая телеметрию. Чтобы убедиться в этом используйте Wireshark.
    После такой настройки, обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 и рекомендации по обновлению Windows 7 SP1
    История кумулятивных обновлений для разных версий Windows 10
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. По другому, будем создавать белый список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того, чтобы быстро разобраться какой программе, что нужно открыть в брандмауэре, можно использовать приложение Process Hacker с надстройками.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10 версии не ниже 1607 Сборка 14393.
    Сборка Process Hacker x64 от ItsJustMe для Windows 10 версии не ниже 1809 Сборка 17763.107. Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" (на Windows 7 не работает, используйте набор NetworkTrafficView_russian) и
    запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим к каким портам,
    удаленным адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
     
  • Как добавлять или изменять правила используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, при помощи которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавление в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, т.к. правила от M$ могут быть восстановлены при очередном обновлении
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в системном трее на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws,
    без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 7634 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 08:30 09-01-2019
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
 
Порты для основных сетевых служб описаны в RFC 6335, алфавитный список Know TCP/IP (TCP and UDP) ports list (based on RFC 6335) я выложил. Прошу.
 
Добавлено:
Вы немного неверно представляете себе модель защиты. Если брандмауэр локальный т.е. стоит до сетевого адаптера и работает под управлением локальной ОС, то он имеет доступ к списку процессов, а использует его или нет это уже зависит от его реализации. А если он расположен за сетевым интерфейсом, т.е со стороны внешней по отношению к машине сети, то он ничего не знает о том какие задачи на ней считаются и оперирует суммарным трафиком имеющим один источник - локальную машину и произвольное число удалённых адресатов.

Всего записей: 22790 | Зарегистр. 31-07-2002 | Отправлено: 17:19 15-01-2018
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я вобще короче ничего не понял. Правило майкрософта написаное словами в шапке полностью совпадает с формальным правилом соединения свхоста на 53 порт? Или оно более узкое? Удаленный порт однозначно указывает нам на используемую свхостом службу или нет? В моем первоначальном представлении было что это не так и я спрашивал про соединение локальный порт - удаленный порт. Думая что локальным портом мы задаем службу а удаленным портом - вид запроса (днс запрос). ОБьясните кто нибудь на пальцах

Всего записей: 163 | Зарегистр. 25-02-2012 | Отправлено: 21:27 15-01-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
У меня DNS
протокол UDP
любой локальный порт и любой локальный адрес
удаленный порт 53 и удаленный адрес IP роутера
Ставьте так и не ломайте голову.

Всего записей: 7634 | Зарегистр. 12-10-2001 | Отправлено: 23:54 15-01-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
 
svchost.exe как и rundll32.exe это пара системных контейнеров для запуска в них других программ. В первом запускаются произвольные сервисы которые настроены на запуск в общем контейнере, во втором программы оформленные как DLL так как могут быть запущены только по вызову EXE-модуля. И смысла писать персональное правило типа deny svchost TCP/UDP:*:53 exclude TCP:192.168.1.27:53 нет - оно у вас никогда не сработает ибо svchost.exe умеет только взаимодействовать с SCM (Service Control Manager) передавая ему статус состояния запущенных в нём служб, а им от него команды управления, да и ещё умеет логи писать. Потому придётся обезличить правило запрета - часто запущенные в контейнере svchost службы оформлены в виде DLL, например:
 
AudioSrv демон Windows Audio  C:\Windows\System32\Audiosrv.dll
Dhcp демон  DHCP-клиент C:\Windows\system32\dhcpcore.dll
eventlog демон Журнал событий Windows C:\Windows\System32\svchost.exe
HomeGroupProvider демон Поставщик домашней группы C:\Windows\system32\provsvc.dll
lmhosts демон Модуль поддержки NetBIOS через TCP/IP C:\Windows\System32\lmhsvc.dll
wscsvc демон Центр обеспечения безопасности C:\Windows\System32\wscsvc.dll

 
и все они запущены в общей копии svchost.exe, а в ОС у вас таких копий всегда несколько, и в каждой свой набор демонов. Так что правило превращается в обезличенное deny * TCP/UDP:*:53 exclude TCP:192.168.1.27:53 и иначе никак...

Всего записей: 22790 | Зарегистр. 31-07-2002 | Отправлено: 07:19 16-01-2018
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну как же не сработает, если оно прекрасно работает (только сразу для всех процессов в контейнере цвохост) я сейчас о стороннем фаерволе (комодо)
 
Добавлено:
или вы хотите сказать что если в строннем фаере я пропишу правило вида deny svchost TCP/UDP:*:53 exclude TCP:192.168.1.27:53 то телеметрия будет литься дальше?? Тоесть порт однозначно не указывает ничего???
 
Добавлено:
любая телеметрическая дллка легко подцепится с цвхосту и сольет все по 53му?

Всего записей: 163 | Зарегистр. 25-02-2012 | Отправлено: 10:33 16-01-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Уже говорилось об этом, но из примеров был приведен только Directory Opus, который якобы сливал инфу о регистрации по 53 порту.  У вас есть еще примеры, когда программа сливала бы по 53 порту?

Всего записей: 7634 | Зарегистр. 12-10-2001 | Отправлено: 10:53 16-01-2018
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
У вас есть еще примеры

 
И как опус это делал? почему вы думаете что майки не смогут повторить это? Вобще я бы на месте майков сделал так. Для таких как KLASS я бы сделал проверку - елси машина в вируальном окружении я бы не слал телеметрию через 53 цвхоста) И потом бы KLASS думал что все окей)
 
Добавлено:
я так и не понял порт источника влият ли на что то? можно ли фильтровать 53 порт дополнительно? что я вижу когда свхост соединяется с 60100 порта на 53? а с 40000 на 53? этож разные вещи или не?

Всего записей: 163 | Зарегистр. 25-02-2012 | Отправлено: 11:40 16-01-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Эту тему Опуса потеряли на форуме, а тонкости я не помню, помню, что об этом был разговор.
А виртуальное окружение не причем.
Как ранее говорилось здесь, Инет включаем  только после входа в систему
и заливки своих правил, потому как при загрузке системы есть соединения.
Далее запускаем Акулу на хосте и пасем реальный сетевой адаптер.
Когда я этим баловался был полный штиль.

Всего записей: 7634 | Зарегистр. 12-10-2001 | Отправлено: 11:55 16-01-2018 | Исправлено: KLASS, 12:46 16-01-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
 
Чтобы запустить сторонний модуль в контейнере svchost он должен быть написан как модуль ядра с учётом спецификаций Service Reference (MSDN) иначе он не будет запущен. Так что запустить там что угодно не выйдет, а если вы не перекроете другие каналы утечки данных перекрытие только одного ничего вам не даст.  
 
Задача построения безопасной системы обработки данных с использованием незащищённых или низко защищённых архитектур вычислительных систем решения не имеет в следствии того, что путём изменения средств и направления атаки всегда есть шанс успешного её проведения за приемлемое для атакующего время. Для таких систем можно говорить только об увеличении времени с момента начала атаки до момента её успешного завершения. ОС семейства Windows стараниями корпорации Микрософт по уровню безопасности была снижена с уровня TCSEC С1 до уровня TCSEC D так как для игр и развлечений средства безопасности являются излишними, а ЭВМ для других  задач не применяются.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")

Всего записей: 22790 | Зарегистр. 31-07-2002 | Отправлено: 12:09 16-01-2018
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG
ну понятно что мы тут в основном палки в колеса ставим маркетологам а не крутым хацкерам, и все это ради спорта) Никто в здравом уме не поставит вынь глядяющую в сеть на критический обьект
 
KLASS, не в тему холивара - может быть проще сторонний фаер раз проаудировать (там и адресов меньше если что их можно за железным роутером отловить), чем постоянно перезаливать правила в винду? майки то вроде не лезут в сторонние решения и правила там не меняют.  
 
PS А на выключении компа слив был, не помните?
 

Всего записей: 163 | Зарегистр. 25-02-2012 | Отправлено: 13:41 16-01-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Правила льет планировщик, как бы не в тягость.
А сторонний софт... он ведь тоже может лить, проверять надо.
При выключении компа у вас загружен драйвер брандмауэра с вашими правилами.
Опять же, никто не мешает делать все через батник, в котором сначала отключается
сетевой адаптер, а уже после идет перезагрузка\выключение.
Ну а железный брандмауэр-крепче защита.

Всего записей: 7634 | Зарегистр. 12-10-2001 | Отправлено: 14:10 16-01-2018
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вобщем вчерась поставил сниффер себе. Комодой закрыто вобще все. кроме процесса system (для локалки) и свхост на 53 порт. Служба днс кэш включена. Влегкую пролазит соединение на 74.82.4.54 по 443 порту. Грустно. Выходит - все бесполезно. Интересно отключение днскэша решит что-то? Я ее кстати отключал сперва. Потом где то тут прочитал мысль что смысла это не несет и включил снова.
 
Добавлено:
что то я не то написал - разрешил только 53 порт а соединение выходит по 443. Может я не так интерпритирую? может снифер отловил пакет а потом комодо его зарезал а явижу будто он ушел? Юзал smartsniffer.

Хватит оффтопить, ссылку дал






Comodo тут не к месту http://forum.ru-board.com/topic.cgi?forum=5&topic=48985&start=1060#lt

Всего записей: 163 | Зарегистр. 25-02-2012 | Отправлено: 10:27 23-01-2018 | Исправлено: KLASS, 10:50 23-01-2018
Bumbik

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
заблокировать в comodo можно, но оно будет пытаться переподключаться снова и снова что еще хуже, еще недавно мне удавалось с помощью hosts избавится от этого, теперь уже не срабатывает, глубоко не копал по этой теме ибо пока семерка жива десятка никогда у меня не станет основной системой
 
п.с. помниться где-то читал что от телеметрии пока еще срабатывает прописать роуты в системе или роутере, в твоем случае это будет нечто похожее:
route -p add 74.82.4.54/32 0.0.0.0 или route -p add 74.82.4.54/32 127.0.0.1
это по идее должно заблокировать весь диапазон, хотя я тут не спец и с этим в другую тему





Нет тут Comodo, шапку темы читайте

Всего записей: 64 | Зарегистр. 29-12-2015 | Отправлено: 17:19 23-01-2018 | Исправлено: KLASS, 17:23 23-01-2018
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Bumbik
 

 
Правила запрещения - это шаг назад, к сожалению. Похоже разработанная тут методика единственно возможная на данный момент. (не считая очень жесткого выпиливания компонентов и служб - и то я не уверен. Помните то время - банники wetlife работали и было достаточно только их, но майки же становятся умнее. Скоро они станут умнее и встоят в основы сетей основы телеметрии (Тогда смените мой ник на VANGA)). Я просто хотел разобраться можно ли расширить опыт полученный тут на другие средства защиты.  
 
KLASS можете посчитать за флейм, но согласитесь, к варианту описанному мной вы не готовы. Почему бы не распланировать пока есть время. Или вы думаете тоже что других вариантов у нас нет и планировать поэтому невозможно?




Всегда готовы, перекур на три дня

Всего записей: 163 | Зарегистр. 25-02-2012 | Отправлено: 19:39 23-01-2018 | Исправлено: KLASS, 20:00 23-01-2018
aliv



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, что нужно открыть, чтобы сработал slmgr /ato на честно купленной винде для активации через Майкрософт? Спасибо.

Всего записей: 183 | Зарегистр. 23-04-2003 | Отправлено: 01:42 03-02-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aliv
У вас что выдает после того как перекрыли все в брандмауэре?
Возможно Process Hacker покажет после выполнения команды, сам активирую командами
slmgr /ipk (ключ)
slmgr /atp (подтверждение)
потому не ведаю, что в вашем случае должно быть открыто, но интересно бы знать.

Всего записей: 7634 | Зарегистр. 12-10-2001 | Отправлено: 07:51 03-02-2018
aliv



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
после запуска
 
slmgr /ato
 
Process Hacker показывает желаение
 
c:\windows\system32\wbem\wmiprvse.exe
 
сходить на 443 порт вот этого IP адреса: 65.52.98.233
 
Когда в Windows Firewall Control это ему разрешили, он тут же активировал Windows 10 Enterprise LTSB 2016.
 
IP адрес резолвится в: co2.activation-v2.sls.microsoft.com
 
Интересно, можно ли оставить возможность wmiprvse.exe ходить на 443 порт на любой IP адрес?
Пока правило для этого в WFC запретил.
 
Windows 10 Enterprise LTSB 2016 честно купленная с MAK ключем.

Всего записей: 183 | Зарегистр. 23-04-2003 | Отправлено: 23:55 03-02-2018
danetz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
aliv

смысл вопроса вашего? этож мак а не кмс. На ОДИН раз открыть фаервол - это впринципе даже не тема обсуждения

Всего записей: 163 | Зарегистр. 25-02-2012 | Отправлено: 09:28 04-02-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
можно ли оставить возможность wmiprvse.exe ходить на 443 порт на любой IP адрес?  

А зачем, раз активировался... прикрыть конечно.

Всего записей: 7634 | Зарегистр. 12-10-2001 | Отправлено: 10:05 04-02-2018
aliv



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
KLASS
Ок, спасибо. Я просто никогда не сталкивался с MAK ключами, все как-то KMSAutoNET

Всего записей: 183 | Зарегистр. 23-04-2003 | Отправлено: 14:44 05-02-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru