Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Еще одна программа для удобства создания правил Firewall App Blocker | FAB.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 12:52 08-09-2024
pangasiys



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Valery_Sh

Всего записей: 6696 | Зарегистр. 05-06-2012 | Отправлено: 17:54 15-12-2018
Valery_Sh



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pangasiys
 
Раз не задано, используется дефолтная политика:
) исходящие - разрешёно всё, что явно не запрещено.
) входящие - блокируется всё, что явно не разрешено.
 
И не забывать, что в каждом "Сетевом профиле" устанавливается отдельно.
 
Однако, запрет от балды "Исходящих" , может поломать не только Сеть, но и работу локального софта.

Всего записей: 2171 | Зарегистр. 30-06-2008 | Отправлено: 18:16 15-12-2018
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member

Цитата:
Ответ есть на официальном форуме.
Поделись пожалуйста ссылкой.

Всего записей: 32303 | Зарегистр. 15-09-2001 | Отправлено: 15:07 17-12-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
https://www.wilderssecurity.com/threads/windows-firewall-control-wfc-by-binisoft-org.347370/page-148#post-2722246

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 17:10 17-12-2018
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member

Цитата:
https://www.wilderssecurity.com/threads/windows-firewall-control-wfc-by-binisoft-org.347370/page-148#post-2722246
Ты похоже не понял меня.
 
Защитник это не приложение UWP и поэтому для него нельзя применить правило как для обычных аппов (они регистрируются в системе, создаётся спец. правило, которое обновляется при обновлении же аппа). Таким образом нельзя создать универсальное правило для Защитника т.к. его файлы теперь лежат в папках с разными именами (C:\programdata\microsoft\windows defender\platform\4.18.1810.5-0, 4.18.1812.3-0 и далее, по мере выхода обновлений) и скажу ещё раз - очень досадно, что MS пошла по пути Гугела.
 
P.S. Ну и про оффорум я подумал о форуме MS ибо мы же не в топике WFC. Но всё равно спасибо!

Всего записей: 32303 | Зарегистр. 15-09-2001 | Отправлено: 20:39 17-12-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
и какой выход? устанавливать дефендера, не обновлять прогу, обновлять только базы? обновлять прогу после теста и создавать новое правило для развёртывания конкретной протестированной версии?

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 00:20 18-12-2018 | Исправлено: Us2002, 00:20 18-12-2018
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Us2002

Цитата:
и какой выход?
Странно, что задаёте вопрос тому кто сам спрашивал подобное.

Цитата:
устанавливать дефендера, не обновлять прогу, обновлять только базы?
А как можно обновлять только базы?

Цитата:
обновлять прогу после теста и создавать новое правило для развёртывания конкретной протестированной версии?
Можно в принципе сделать тулзу какую - которая каждый второй вторник месяца (ну или лучше среду) будет сканировать указанную мной папку и создавать правило на основе имени новой папки (если она там появится), но вот как это совместить с WFC и его защитой хз (хотя в принципе тоже можно автоматизировать...).
 
P.S. Хотя вот можно ещё попробовать разрешить доступ в инеты Microsoft.Windows.SecHealthUI, а всем mpcmdrun.exe запретить - сам я сейчас не могу проверить т.к. везде базы обновлённые.

Всего записей: 32303 | Зарегистр. 15-09-2001 | Отправлено: 15:14 18-12-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
deDUBros
Цитата:
Вставляешь флешку, включается брандмауэр

Определенная ясность появилась. При втыкании флешки выполняется команда "netsh.exe" advfirewall set allprofiles state on   Зачем?
Цитата:
1. Чтобы элементы автозапуска не смогли подключиться к интернету.
2. Чтобы заставить брандмауэр Windows обновить состояние своих правил, чтобы любое правило брандмауэра, созданное для .exe, расположенного на флешке, продолжало работать. В противном случае правила не будут работать, поскольку внутренний GUID подключеннй флешки будет другим при каждом подключении диска, даже если буква флешки одинакова.
Родителя можно вычислить, например, с OSArmor, им же можно и запретить выполнение, не знаю, как это скажется на повседневном использовании брандмауэра. Если у тебя WFC, то родитель wfcs.exe.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 19:39 18-12-2018 | Исправлено: shadow_member, 19:46 18-12-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
тоесть налету подрубаем другой носитель (не обязательно усб) с нужным правильно обозванным экзешником, расположенном по нужному пути и дрючим систему как угодно

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 22:57 18-12-2018
Timius1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте.
Подскажите пожалуйста как отключить DNS-клиент в Windows 10 LTSC 2019?
Ссылка

Всего записей: 21 | Зарегистр. 17-05-2018 | Отправлено: 10:55 23-12-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Timius1
Отключить службу DnsCache, она же DNS Client:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Dnscache - изменить значение параметра Start на 4 и перезагрузиться, после этого проверить, что служба отключена.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 11:13 23-12-2018
Timius1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Благодарю!
А вообще сильно изменился подход по настройке именно Windows 10 LTSC 2019?

Всего записей: 21 | Зарегистр. 17-05-2018 | Отправлено: 11:21 23-12-2018 | Исправлено: Timius1, 11:21 23-12-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подход не изменился, но добавились фишки, с которыми не так легко побороться. В сопутствующих темах по 10.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 11:28 23-12-2018
Timius1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо за ответ!
С наступающим! Всех благ!

Всего записей: 21 | Зарегистр. 17-05-2018 | Отправлено: 11:31 23-12-2018
Dostoevskij

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
121212121

Всего записей: 31 | Зарегистр. 25-08-2018 | Отправлено: 00:21 25-12-2018 | Исправлено: Dostoevskij, 15:44 11-06-2024
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dostoevskij
Если все работает, то не обращаем внимания. Вот машинный перевод, если правильно путаю,
по умолчанию блокируется сканирование портов, если процесс не открыл порт и не ждет подключений.
Данное поведение является особенностью

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 09:16 25-12-2018 | Исправлено: KLASS, 10:44 25-12-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PrivateWin10 v0.1b
Управление приватностью и брандмауэром в Win10.
Перенес в... сюда. , а вдруг это подрастающий "New Windows Firewall Control".

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 13:11 25-12-2018 | Исправлено: shadow_member, 14:08 25-12-2018
lyolik r

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
и Основы сетей - DNS (UDP - исходящий трафик), но оставив это правило DNS помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
Потому для верности, создавайте правила DNS для каждой программы из белого списка, а правило Основы сетей - DNS (UDP - исходящий трафик) предпочтительно тоже отключить.
Отключив правило, обязательно отключите службу DNS-клиент

 
Думаю так будет понятней,если уточнить/дополнить, а именно :
 

Цитата:
Потому для верности, создавайте правила DNS для каждой программы из белого списка (разрешить UDP исходящее соединение,удаленный порт 53), а правило Основы сетей - DNS (UDP - исходящий трафик) предпочтительно тоже отключить.

 
 
KLASS,спасибо за труды

Всего записей: 462 | Зарегистр. 26-05-2012 | Отправлено: 01:29 09-01-2019 | Исправлено: lyolik r, 01:33 09-01-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lyolik r

Цитата:
Отключив правило, обязательно отключите службу DNS-клиент
Не нужно его отключать, а нужно настроить использовать в качестве днс-сервера сервер роутера домашнего и тогда никакой зловред не создаст днс-туннель. Хотя если у вас в системе зловред, да ещё админскими правами сидит, то ничем вам виндовый фаер не поможет т.к. это комплексное средство (фаервол+антивирь+остальные средства защиты винды как то UAC и т.д.).
 
Не ну можно конечно для каждой проги прописывать разрешения на использовании днс (если не боитесь, что кто-то в неё заинжектится и через неё уже днс-туннель создаст), а ещё можно вообще отказаться от днс и ручками прописать все нужные домены и айпи в hosts. гыгы

Всего записей: 32303 | Зарегистр. 15-09-2001 | Отправлено: 12:12 09-01-2019
lyolik r

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
 

Цитата:
Не нужно его отключать, а нужно настроить использовать в качестве днс-сервера сервер роутера домашнего и тогда никакой зловред не создаст днс-туннель

 
Мне на ноутбуке сподручней как раз разрешить использовании днс для каждой программы отдельно,благо их не много,чем переписывать каждый раз днс адресса роутеров отличного от домашнего, к примеру в командировке,на работе. А для настольного ПК полностью солидарен,так и сделаю.

Всего записей: 462 | Зарегистр. 26-05-2012 | Отправлено: 15:31 09-01-2019
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru