Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Еще одна программа для удобства создания правил Firewall App Blocker | FAB.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 12:52 08-09-2024
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
 
Я думаю слив происходит на уровне "отсылаем запрос на DNS, а под шумок отправляем UDP дайтаграммы на 53-й порт своих серверов" - легальный-то DNS липовые пакеты откинет, а имитация примет и обработает аж комар носу не поточит. Думаю стоит глянуть нет ли там дублированных "DNS запросов" на явно левые по отношению к системе DNS адреса. Особенно тут IPv6 удобны - там никто толком не знает какая машины на нём сидит...

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 34365 | Зарегистр. 31-07-2002 | Отправлено: 02:36 12-04-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG

Цитата:
легальный-то DNS липовые пакеты откинет, а имитация примет и обработает аж комар носу не поточит.

Что ты в данном случае подразумеваешь под "имитацией"?

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 02:54 12-04-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
 
Использующий отличный от реального DNS хост работающий с удалёнными хостами по 53-у порту и маскирующийся под DNS. Например там может стоять кэширующий DNS (резольвер) который "знает" только записи для DNS запросов которые через него проходили. Внешне вроде DNS, но установленный на хосте DNS просто прикрытие для его основной функции. И придраться не к чему - система DNS не модифицирована,  а другие функции - параллельно машина решает прикладную задачу...

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 34365 | Зарегистр. 31-07-2002 | Отправлено: 03:23 12-04-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Но вроде как такие фокусы возможны только у провайдера на магистрали, ну и в зоне администрирования конечного днс обслуживающего "зловредную" зону, нет?
зы: конечно при условии, что клиентская машина (или роутер её локальной сети) настроены на общение только с днс провайдера (или этим граничным роутером).

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 04:07 12-04-2018 | Исправлено: Us2002, 04:10 12-04-2018
lex25

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
 
Мне неучу "понятно" одно, что левая инфа таки достигает цели  
и все через те же "правильные" ДНС?

Это не левая инфа, с ПК не происходит слив (в случае тотала и Directory).
Это обычный запрос (type TXT) к DNS серверу. Вот есть запрос type А (где ответ IP-адрес v4, при наличии) а есть TXT (и еще куча List of DNS record types) где ответ - текстовая запись домена.
 
Тотал использует эту TXT запись для проверки обновления.
Directory для проверки лицензии.
-----
 
В любом случае, я (как и вы) сторонник отказа от использования системного DNS-резолвера.
 
Немного off
Еще бы посоветовал отказаться от брандмауэра Windows.
Он неудобен и уязвим перед софтом, работающим с правами администратора или СИСТЕМЫ (речь о возможности изменять настройки брандмауэра).

Всего записей: 37 | Зарегистр. 07-01-2007 | Отправлено: 23:56 12-04-2018 | Исправлено: lex25, 23:58 12-04-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
lex25
 
А что мешает поднять ISC BIND? Работает надёжно, настроить не сложно, исходники открыты. Чего с демоверсией от Микрософт возится? Ах да, стенка не пущает, дык есть DNS Firewall Solution for BIND. Только думаю не все читать захотят. Особенно те люди кто привык к готовым решениям.
 
У меня он давно в сети стоит и сеть работает без сучка и задоринки. Не просто так корневые DNS именно на BIND подняты...
 
Добавлено:
А для базового знакомства с BIND статья сойдёт - https://habrahabr.ru/post/137587/ .
 
Добавлено:
И кстати, виндовый DHCP то же есть смысл заменить на ISC DHCP - как минимум пропадут "допущения" в интерпретации RFC и работа сети станет намного стабильнее. Демо оно для того и пишется чтобы показать возможность реализации идеи, а вот степень его соответствия стандартам во многом завит от воли автора этого демо. Собственно это мы и видим в реализации любых сервисных функций осей от Микрософт, да и они этого никогда не скрывали чётко говоря "Мы реализуем только минимальный набор базовых функций для примера решаемости задачи, а полные решения пишут разработчики сторонних сервисов, приложений и утилит. Иначе если мы сами всё сделаем они останутся без работы." Б. Гейтс, 1986 год.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 34365 | Зарегистр. 31-07-2002 | Отправлено: 00:21 13-04-2018
lex25

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А что мешает поднять ISC BIND?

А зачем он нужен?
 
>Чего с демоверсией от Микрософт возится?
Да вроде никто не возится, просто DNS-клиент отключается (как служба) и всё.

Всего записей: 37 | Зарегистр. 07-01-2007 | Отправлено: 00:39 13-04-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lex25
 
Именно это всё и объясняет "А зачем он нужен?" - раз в таком авторитетном источнике как википедия написано что элемент Х не нужен - значит там люди знают что он не нужен. Можно смело идти спать - у собеседника нет понимания предметной области, и  он искренне возмущён "Зачем мне несут сию ересь? Я и так в википедии всё прочитал, а значит всё знаю!".

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 34365 | Зарегистр. 31-07-2002 | Отправлено: 00:59 13-04-2018
lex25

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG
Да при чем тут вики, BIND не решает проблему о которой идет речь.
Напомню, программа, для которой нет разрешающего правила в брандмауэре - спокойно выходит в сеть через DNS протокол, т.к. все запросы идут через DNS-резолвер для которого есть разрешающее правило.
Какая разница кто выступает в роли DNS-резолвера - встроенный в Win или ISC BIND, схема-то одна.
-
 
Отключаем DNS-резолвер и проблема решена - в сеть выходят программы только для которых есть разрешающее правило, т.к. все запросы идут напрямую.

Всего записей: 37 | Зарегистр. 07-01-2007 | Отправлено: 04:47 13-04-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lex25

Цитата:
Тотал использует эту TXT запись для проверки обновления.  
Directory для проверки лицензии.

Это я и называю "левой инфой", потому как без ведома пользователя.
Страшного то ничего нет, но таки пользователь должен быть в курсе.
А по поводу неудобств и уязвимости... так выбора то нет, мы ведь в разделе форума Windows,
а тут, как известно, только про вынь )
Victor_VG
Ага, ты еще КаШперского начни здесь обсуждать )
В виде исключения Windows Firewall Control оставил, все таки надстройка на виндовым, остальное офф.

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 06:39 13-04-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lex25
KLASS
 
Пока за годы работы с UNIX где BIND штатный элемент ОС ни разу не видел чтобы программы смогли через него что отправить, хотя такие руткиты имеются, но срабатывают они только для M$ реализации DNS. С BIND у них этот фокус обрывается демоном - он блокирует любые попытки ПО отсылать запросы не соответствующие протоколам RFC.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 34365 | Зарегистр. 31-07-2002 | Отправлено: 16:56 13-04-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG
Старик, но есть же тема можно поговорить... уважай труд уборщиц

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 17:02 13-04-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
 
Факт, посмотри в ПМ. Я тебе кое-что переслал полезное. А пока новый РН нам соберу - исправление есть.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 34365 | Зарегистр. 31-07-2002 | Отправлено: 17:42 13-04-2018
4r0

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Если в фаерволле оставить только основы сетей DHCP, то Wi-Fi не особо хочет работать, что ещё надо разрешить?

Всего записей: 737 | Зарегистр. 26-01-2010 | Отправлено: 12:22 15-04-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4r0
Подключил рогалик wi-fi к стационару, все работает с одним исходящим правилом DHCP, даже входящего нет. Ну и разумеется правила для белого списка программ.

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 14:33 15-04-2018
4r0

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Видимо, непонятки с серверами DNS. В свойствах подключения написано 192.168.1.1, но добавление этого адреса в разрешающее правило ничего не меняет, приходится разрешать подключение к любым адресам, а не к конкретным DNS...

Всего записей: 737 | Зарегистр. 26-01-2010 | Отправлено: 14:52 15-04-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4r0

Цитата:
В свойствах подключения написано 192.168.1.1

Это у вас ошибка настройки сети. Обычно IPv4 заканчивающийся на 1 , 128 или 254 (редко) используется для указания шлюза и совпадает с IPv4 роутера, управляемого свича или хаба в сегменте/подсети соединяющего его с внешней сетью. Назначать этот IP клиентской машине не стоит - будут ошибки в работе сети. Так же нельзя использовать шировещательные IPv4 вида *.*.*.0 и *.*.*.255 - их использование для адресации хостов прямо запрещено обязательными к использованию международными стандартами IETF RFC-791, RFC-1112, RFC-4604, RFC-5944, RFC-6864 и рядом других.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 34365 | Зарегистр. 31-07-2002 | Отправлено: 15:13 15-04-2018
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG

Цитата:
Обычно IPv4 заканчивающийся на 1 , 128 или 254 (редко) используется для указания шлюза и совпадает с IPv4 роутера, управляемого свича или хаба в сегменте/подсети соединяющего его с внешней сетью. Назначать этот IP клиентской машине не стоит - будут ошибки в работе сети.

 
К нравоучению присоединяюсь.
 
Но правды ради должен написать, что никто не мешает дать шлюзу любой допустимый адрес (не *.0 и не *.255)
Если клиент будет в одной подсети со шлюзом, всё будет работать штатно.
 
Добавлено:
 
lex25

Цитата:
В любом случае, я (как и вы) сторонник отказа от использования системного DNS-резолвера.  

 
Не спорю: есть причины для такого решения
Но ведь причины есть и для решения првести остаток жизни в экранированном бункере
 
Легко потратить остаток жизни на огораживание... и более ничего не достичь.
 
Инфраструктура создаётся для удобства.
Замена публичной ненадёжной инфраструктуре "от дяди" - инфраструктра собственная, предположительно надёжная.
 
Но это удовольствие недешёвое.
Здесь вопрос не только денег, но и времени, вообще: ресурсов.
Важен баланс между силами потраченными на огораживание от публичных удобств (иногда "удобств") и на достижение собственных целей.
 
Для Victor_VG собственный BIND это просто, потому что он это в это уже когда-то вложился, и инвестиции ему отбиваются.
Для большинства это инвестиция, которая может пощипать личный ресурс и.. никогда не оправдаться.

Всего записей: 17740 | Зарегистр. 14-10-2001 | Отправлено: 17:13 15-04-2018 | Исправлено: LevT, 17:27 15-04-2018
Userrr



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MVPs Hosts File
кто-нибудь пытался запихнуть это в файерволл (12,616 entries)

Всего записей: 10821 | Зарегистр. 21-03-2006 | Отправлено: 23:20 16-04-2018
Engaged Clown



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Userrr

Цитата:
MVPs Hosts File

Есть и покруче - https://github.com/StevenBlack/hosts

Цитата:
запихнуть это в файерволл

По-моему не реально, да и тормозить будет страшно.
Можно HostsMan'ом быстро переключать.

----------
Опросы ru-board'а

Всего записей: 8818 | Зарегистр. 08-06-2006 | Отправлено: 23:35 16-04-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru