Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Еще одна программа для удобства создания правил Firewall App Blocker | FAB.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 12:52 08-09-2024
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
77DeniZZka77
lsass зачем-то? понадобился какой-то игрушке... задать вопрос на форуме игры не пробовал, зачем игре выход системного файла в Инет? Например

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 18:52 08-05-2019
Dacor

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
solidarion

Цитата:
 lsass.exe  в службах это VaultSvc    

pangasiys

Цитата:
нет - в службах это SamSs (Диспетчер учетных записей безопасности)  

Да оба два!
 
Добавлено:
77DeniZZka77

Цитата:
А кто то сказал, что он работает через svchost?  

можно это и так понимать:
 
77DeniZZka77

Цитата:
Так как подобная активность, мне не очень нравится, то он был заблокирован, как и практически всё, что ломится через svchost.exe. И проблем особых не испытывал, но ..  

 
Добавлено:
KLASS

Цитата:
Например

Отлично, просто замечательно! Троллинг топик стартера с неудобным вопросом, закрытие темы администрацией. Мне нравится)
 
Добавлено:
77DeniZZka77

Цитата:
осподи, я тупо перепечатываю уже вопрос заданный выше ...  

 
Ну задай этот вопрос в тех саппорт гамы. Затролят, обкакают, еще и логин прикроют до кучи - слишком любопытному)))




Как много, да не по теме...

Всего записей: 1584 | Зарегистр. 02-08-2007 | Отправлено: 18:55 08-05-2019 | Исправлено: KLASS, 19:22 08-05-2019
Tridentifer



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
solidarion
 
В Win10 1809 lsass.exe -  это и Security Accounts Manager (SamSs), и Credential Manager (VaultSvc).




Хватит флудерастить

Всего записей: 2226 | Зарегистр. 23-10-2009 | Отправлено: 19:11 08-05-2019 | Исправлено: KLASS, 19:27 08-05-2019
77DeniZZka77



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Dacor
В том то и дело, что в тех поддержке у картошки сидят такие же товарищи как и на форуме.
Я уже как то задавал технический вопрос, по поводу, а почему у вас в корне игры лежать библиотеки физикса, ведь игра не использует его.
На что мне сказали, что такова реализация игры ))))
Так что боже упаси туда соваться в этот саппорт.




Ну, а эта тема то здесь причем. Флуд заканчиваем.

Всего записей: 401 | Зарегистр. 14-12-2007 | Отправлено: 19:21 08-05-2019 | Исправлено: KLASS, 19:24 08-05-2019
Timius1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
77DeniZZka77
Скорее всего ты не всему дал доступ.
Посмотри может в танках есть что то подобное?
https://pastenow.ru/7f024da3d888d5daa6406d2cb4b7ccb9
https://pastenow.ru/136cfb0c524b603ac43c236aff4767ab

Всего записей: 21 | Зарегистр. 17-05-2018 | Отправлено: 21:53 09-05-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dacor

Цитата:
"Local Security Authority Subsystem Service, LSASS" - он локальный. авторизировал юзера и баиньки.
Нет - он ещё участвует в восстановлении подключения, к примеру, к папкам вэб-дав и т.д.
 
// перепутал - за это winlogon отвечает.

Всего записей: 32263 | Зарегистр. 15-09-2001 | Отправлено: 16:44 11-05-2019 | Исправлено: WildGoblin, 11:11 13-05-2019
Petrovic82

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а есть инфа по блокировке портов? какие необходимо блокировать и тд ...(135-139,445,5000,1024-1035,5554,9996,1900)

Всего записей: 7877 | Зарегистр. 19-10-2013 | Отправлено: 12:05 14-05-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Petrovic82

Цитата:
а есть инфа по блокировке портов? какие необходимо блокировать и тд ...(135-139,445,5000,1024-1035,5554,9996,1900)
Никакие не надо блокировать, а надо разрешать необходимые.

Всего записей: 32263 | Зарегистр. 15-09-2001 | Отправлено: 12:35 14-05-2019
rubel



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
KLASS

Цитата:
Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10 версии не ниже 1607 Сборка 14393. .  

А как скачать Вашу сборку?
По ссылке https://disk.yandex.ru/client/disk/Shared/ProcessHacker ничего нет.

Всего записей: 1442 | Зарегистр. 12-07-2004 | Отправлено: 08:08 19-05-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rubel
В шапке соответствующей темы.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 08:19 19-05-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rubel
Поправил ссылку.
Да, то не сборка-переведенный Хакер

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 08:29 19-05-2019 | Исправлено: KLASS, 08:31 19-05-2019
Djual



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
 http://forum.ru-board.com/topic.cgi?forum=62&topic=30521&start=600#17
Пошел по магазинам, часа полтора Акула была "прицеплена" к железному сетевому адаптеру.  

Подскажете где можно взять список поддерживаемых ей сетевых адаперов ? (+они видимо по функциям группируются ? что лучше для нашей задачи ?)
тут нет чтото http://forum.ru-board.com/topic.cgi?forum=5&topic=14506
тут тож не видать https://www.wireshark.org/docs/
и гугль тупит

Цитата:
http://digitalsubstation.com/blog/2014/03/13/esli-wireshark-ne-otobrazhaet-metki-vlan/
Более «продвинутые» сетевые карты, например, с чипами Intel или Broadcom обрабатывают теги VLAN на аппаратном уровне и/или на уровне драйвера, что может приводить к тому, что весь захваченный WireShark трафик, проходящий через trunk, будет отображаться нетегированным.

Всего записей: 445 | Зарегистр. 05-01-2016 | Отправлено: 08:40 22-05-2019 | Исправлено: Djual, 09:01 22-05-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Djual
Понятия не имею про список адаптеров, у меня подключались, как железные, так и виртуальные Hyper-V.
К тому же, все вопросы по Акуле следует задавать в соответствующей теме, даже, если там нет ответа на ваш вопрос.

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 09:01 22-05-2019
Djual



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
все вопросы по Акуле следует задавать в соответствующей теме

а я тут спросил неспроста -
Djual

Цитата:
что лучше для нашей задачи ?

ну и там пусть будет




Запрещено дублирование тем и сообщений п. 2.7. главы VIII Соглашения по использованию. Стало-быть, там и начинать надо было. Здесь обсуждаем Windows, но не выполняемые задачи сторонним ПО.

Всего записей: 445 | Зарегистр. 05-01-2016 | Отправлено: 10:54 22-05-2019 | Исправлено: KLASS, 11:29 22-05-2019
pokayazdes

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет всем! Засада с Маил диском облачным. Никак не получается добавить в белый список. Скайп, Телега, юТоррент в списке и пашут. Подскажите......... Help!!!!!

Всего записей: 157 | Зарегистр. 14-01-2010 | Отправлено: 20:02 25-05-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pokayazdes
Систему не знаю вашу, что на вкладке Firewall в Process Hacker, то и вводим в правила для разрешения.

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 05:44 26-05-2019
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shchyo

Цитата:
..Господа знатоки, подскажите, пожалуйста, по поводу брандмауэра Windows ..
PowerShell, меняет (не политику, её просто показывает)  все правила на Block
запускать от Admina, нужна соответствующая директория для бэкапа.
Код:
# By Yuri Fadeev / SQL / UK, ad-hoc solution on ru-board topic request, ver: Jun-2019, to-do: error handling flow
cls;Get-NetFirewallProfile | Select-Object Name,Enabled,DefaultInboundAction,DefaultOutboundAction
write-output "Trying to backup your firewall policy"
netsh advfirewall export ("c:\x\my_firewall_policy_backup_"+(get-date).toString("yyyy-MM-dd-mm-ss")+".wfw")
if($error.count -ne 0 -or $lastexitcode -ne 0){write-output "backup failed";Write-Error 1 -ea 0}
[Array]$rules=@();foreach($rl in get-netfirewallrule|where-object{$_.Action -ne'Block'}){$rules+=$rl.Name}
if($error.count -eq 0 -and $rules.count -gt 0){Write-Output "Setting rules";foreach($blk in $rules){Write-Output $blk
Set-NetFirewallRule -Name $blk -Action Block};Write-Output "Done"}else{"Something went wrong, aborted"}
remove-variable * -ea 0;$error.clear()

Всего записей: 748 | Зарегистр. 10-11-2005 | Отправлено: 03:26 19-06-2019 | Исправлено: vikkiv, 18:40 19-06-2019
Djual



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
кто пробовал подружить вин-фаер с другими ? они могут работать вместе ? или лучше его оставить в одиночестве ?
чтото было вроде  
а, про фаер ESET Smart Security вроде - кто нибудь его пробовал ?
alekseipunchin

Цитата:
KLASS  
 Хочу еще сказать один момент, который заметил сегодня. Сетевой экран от ESET блокирует доступ NlaSvc к DNS, если эта служба явно не разрешена в свойствах правила svchost. И это логично.  
 У стандартного же сетевого экрана, встроенного в Windows, служба NlaSvc свободно обращается к своему DNS даже если для неё нет явного разрешающего правила. Достаточно стандартного правила svchost для DNS (разрешен UDP и открыт 53 порт). И это не логично.

 

Всего записей: 445 | Зарегистр. 05-01-2016 | Отправлено: 07:21 20-06-2019 | Исправлено: Djual, 07:21 20-06-2019
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Djual
Цитата:
кто пробовал подружить вин-фаер с другими ? они могут работать вместе ?
Еще как могут! Но их должно быть не менее трех, два - это для слабаков.
Цитата:
ESET Smart Security вроде - кто нибудь его пробовал ?
Нееее, и не слыхали!
Цитата:
стандартного правила svchost для DNS (разрешен UDP и открыт 53 порт)
не должно быть, и это логично.
Ваш флейм очень важен для нас, пишите исчо!

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 08:00 20-06-2019
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Djual
Отвечу вам, как участник форума, здесь и один раз, лишь потому, чтобы не было потом разговоров, что банят за "неудобные вопросы".
1. Если вам взбрело в голову поставить еще 1,2,3... брандмауэра то вы обратились не по адресу.
Здесь не обсуждают возможность и не обучают работе с несколькими брандмауэрами в одной системе,
но обсуждают работу и настройку только брандмауэра Windows.  
2. В Windows, любая служба и программа обращаются к DNS через разрешенное правило
Основы сетей - DNS (UDP - исходящий трафик) и это логично.
Если не перестанете захламлять темы, вынужден буду ответить, но уже, как модер- выписав запрет.
Обсуждению не подлежит.
Надеюсь на понимание.
 
Добавлено:
В шапку внес поправку, относительно правила и службы DNS, там где: НЕ ОБЯЗАТЕЛЬНО

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 08:10 20-06-2019 | Исправлено: KLASS, 08:13 20-06-2019
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru