Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Еще одна программа для удобства создания правил Firewall App Blocker | FAB.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 12:52 08-09-2024
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Timius1
Цитата:
может после этого он как то не так работает?
Это вам или самим разбираться или в профильной теме.
А здесь, суть проста - облако не работает при отключенной службе dnscache и никакие настройки брандмауэра не решают проблему.
Что очень печально.

Всего записей: 2303 | Зарегистр. 01-12-2009 | Отправлено: 13:00 25-01-2020
Timius1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
это была подмога)))
мне, этот сервис не интересен.





Всего записей: 21 | Зарегистр. 17-05-2018 | Отправлено: 23:14 25-01-2020 | Исправлено: KLASS, 11:17 26-01-2020
Timius1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хорошо! Продолжу исследование))
На VirtualBox установлю чистую систему (образ SW_DVD5_WIN_ENT_LTSC_2019_64-bit_Russian_MLF_X21-96463) другого нет.
Проделаю все процедуры и отпишусь.
 
Добавлено:
Caravelli
Так! На чистой подтверждается (облако не работает).    Ссылка
Но антивирусная база подкачивается!
Может конечно что то еще нужно разрешить но тут я школьник.

Всего записей: 21 | Зарегистр. 17-05-2018 | Отправлено: 11:30 26-01-2020 | Исправлено: Timius1, 13:17 26-01-2020
generator324

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите такую вещь: создаю правило для ДубльГис на основе стандартной команды Netsh, выглядит это так:
Код:
Netsh Advfirewall Firewall add rule name="2ГИС (grym.exe)" dir=out action=block program="C:\program files (x86)\2gis\3.0\grym.exe" description="Outbound rule to block 2ГИС (grym.exe)"

При этом в правилах брандмауэра Windows не отображается "Группа", и непонятно как её можно задать
Читал справку -
Код:
Netsh.exe Advfirewall Firewall add rule /?
, так ничего и не понял. Однако, когда тоже правило создаётся при помощи, например, Windows Firewall Control та же группа прописывается:

Как прописать название группы через Netsh?

Всего записей: 1102 | Зарегистр. 11-01-2019 | Отправлено: 10:24 21-02-2020
harrykkk



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
generator324
Пробуйте PowerShell

Код:
New-NetFirewallRule -DisplayName "2ГИС (grym.exe)" -Group "Maps" -Program "C:\program files (x86)\2gis\3.0\grym.exe" -Action Block -Profile Any -Direction Outbound -Description "Outbound rule to block 2ГИС (grym.exe)"

Всего записей: 9020 | Зарегистр. 24-02-2013 | Отправлено: 11:44 21-02-2020
generator324

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
harrykkk

Цитата:
Пробуйте PowerShell

А без PowerShell никак нельзя? У меня нет никаких предубеждений к последнему, наоборот, но... Короч, это не мой случай - у меня оригинальная строка выглядит так:

Код:
WSHShell.Run "Netsh Advfirewall Firewall add rule name=""2ГИС (grym.exe)"" dir=out action=block program=""C:\program files (x86)\2gis\3.0\grym.exe"" description=""Outbound rule to block 2ГИС (grym.exe)""", 2, true

Поскольку в PS более, чем слабоват, использую WSH - чего умею. И смешивать "всё в кучу" не очень бы хотелось.
Конечно, БОЛЬШОЕ СПАСИБО за пример, но... тут есть ещё один момент: собираю я, скажем, .msi для своих "внутренних нужд" - хотелось бы сразу прописать правило для брандмауэра "унутри". Через командную строчку - запросто! А через PS - не знаю, как и подойти...

Всего записей: 1102 | Зарегистр. 11-01-2019 | Отправлено: 11:59 21-02-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
generator324
Добавление правил командой netsh не позволяет задать имя группы - разъяснение разработчика WFC.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 12:14 21-02-2020
generator324

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member

Цитата:
Добавление правил командой netsh не позволяет задать имя группы - разъяснение разработчика WFC.

Понял, спасибо. Ну, бум знать. Ещё один повод начать изучать PS
Только вот, боюсь, не с моими знаниями...
У меня, вона, ДОС-окно спрятать не получается  
Не через WSH, а когда строчка из .msi-приложения (Wrapper) вызывается. Знаю, что есть hidcon, но не получается его к основной строке "приклеить"...

Всего записей: 1102 | Зарегистр. 11-01-2019 | Отправлено: 12:37 21-02-2020
harrykkk



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
generator324
Чем смог помог. Спаривать слонов и носорогов WSH и PS тоже не умею.

Цитата:
Поскольку в PS более, чем слабоват

Это наверное можно было сказать о ранних версиях PS. Последние версии PS умеют все (ну или почти всё), что умеет CMD, и еще немного больше. MS его даже в Linux продвигает, а там BASH по-круче CMD будет.

Всего записей: 9020 | Зарегистр. 24-02-2013 | Отправлено: 12:44 21-02-2020
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
generator324
 
просто из WSHShell надо запускать не netsh.exe, a другой экзешник: powershell
 
Опции надо писать те, которые понимает именно последний
powershell /?
 
Пробуйте.
Халявы от меня не будет, но помочь готов
 
 
Добавлено:
harrykkk

Цитата:
Это наверное можно было сказать о ранних версиях PS.

 
Он это сказал о себе, а не о PS.
Ваш ответ только сбивает с толку.
 
Сценарии bash и cmd - автоматизируют консольное окно/терминал
 
Сценарии WSHShell и powershell - автоматируют соотв. виртуальные машины.
 
И консоль-терминал, и соотв. виртмашины умеют запускать любые программы с теми параметрами, который понимают те программы.
 
Различия:
 
1) в языке сценариев
2) в окружении, которое создаётся для запускаемых программ, а в случае повершел - ещё и для его командлетов, взятых из встроенных и сторонних модулей.
3) в способах восприятия языковым движком результатов исполнения внешних программ (stdout и stderr)
 

Всего записей: 17727 | Зарегистр. 14-10-2001 | Отправлено: 12:50 21-02-2020 | Исправлено: LevT, 13:11 21-02-2020
generator324

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
harrykkk
Не PS слабоват, а я Поскольку я программированию не обучен от слова ВООБЩЕ, "синтаксис" PS мне просто "не заходит" - я "тону" в нём сходу. WSH за 20 лет пиления кое-как "наобезьянил", а изучать чего-либо посерьёзнее - увы, года мои уже не те...
 
LevT

Цитата:
просто из WSHShell надо запускать не netsh.exe, a другой экзешник: powershell  

Да речь вообще не о PS / WSH шла, а о простом батнике. Хоть это здесь и глубокий
Мне нужно было просто к той строчке, которую я привёл здесь, приклеить hidcon.ехе (скрытие ДОС-окошка).
Ещё раз извиняюсь за , пойду в профильную тему.

Всего записей: 1102 | Зарегистр. 11-01-2019 | Отправлено: 13:09 21-02-2020
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
generator324
 
никакой "простой батник" не умеет правила фаервола!!
Он тоже запускает программы, которые их умеют.
 
Умеют это например
 
 - netsh.exe (с известными ограничениями)
 
 - powershell.exe в лице модуля NetSecurity (Win8.1 +)
 
 - возможно, что кто-то знает, где и как "ударить молотком" reg.exe
 
 - возможно, что кто-то знает, как это сделать через wmic.exe
 
У всех помянутых (и забытых мною) инструментов-экзешников есть преимущества и особенности (а иногда фатальные недостатки)
Каждый раз в каждом новом контексте надо уметь их вычислить - чтобы использовать инструмент, удобный именно в данном контексте.
 
 
Добавлено:
generator324

Цитата:
"синтаксис" PS мне просто "не заходит" - я "тону" в нём сходу.

 
Если угодно, посоветую 100-страничную книжку для нубов.
Я тоже физически не молод, но повершел осилил, и много более трудным путём
 
Ваша проблема не в PS, а в фундаментально ошибочных представлениях о том:
 
 - как ос запускает программы
 - как она это делает под управлением сценарного движка
 - что такое движки и языки сценариев  
 
Если свои ликвидируете фундаментальные ощибки, Ваши оценки станут ближе к реальности.
 
 
 
Добавлено:
 
Что касается скрытия окна, то см.
powershell -WindowsStyle Hidden
 
Может, и WSHShell это умееет без привлечения сторонних утилит: просто я не в курсе
Но не исключаю, что умеет он это не для всех программ, и вероятно что netsh.exe как раз исключение.





Помощь оказываем, а лекции заканчиваем, либо идем мимо. Не нервируй меня.

Всего записей: 17727 | Зарегистр. 14-10-2001 | Отправлено: 13:18 21-02-2020 | Исправлено: KLASS, 13:52 21-02-2020
generator324

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT

Цитата:
никакой "простой батник" не умеет правила фаервола!!  

Вы о чём? Не понял от слова СОВСЕМ  
Мне нужно "всего-навсего" заблокировать конкретное приложение, и я через NetworkShell (netsh) это спокойно сделал. Проблем (в этом случае) - НИКАКИХ!

Цитата:
Если угодно, посоветую 100-страничную книжку для нубов.
Я тоже физически не молод, но повершел осилил, и много более трудным путём  

Всё это очень хорошо, и даже замечательно - если бы совсем не было других проблем. Но к данному вопросу это отношение имеет весьма опосредованное, и вряд ли мне это поможет...

Цитата:
Что касается скрытия окна, то см.
powershell -WindowsStyle Hidden  

Я знаю, что вы апологет powershell, но не до такой же степени! Повторяю, мне сейчас не нужны решения на powershell, можете вы это понять?  
Я задал простой вопрос, shadow_member мне дал ответ. Всё!
Приятно, конечно, попутно узнать варианты решения задачи через PS, хотя бы для общего кругозора. Но, повторюсь - мне это не подходит. И причины я уже озвучил.
Всё, вопрос <здесь> ЗАКРЫТ, давайте наконец закончим

Всего записей: 1102 | Зарегистр. 11-01-2019 | Отправлено: 14:01 21-02-2020
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
generator324

Цитата:
Мне нужно "всего-навсего" заблокировать конкретное приложение, и я через NetworkShell (netsh) это спокойно сделал.  

 
То есть, Вы сделали это через виндовую утилиту netsh.exe,
    запущенную в Вашем случае даже не из батника, а из движка WSHShell  
 
(который в свою очередь создаётся утилитой wscript.exe,
   запущенной из сценария-батника или напрямую руками из консоли cmd.exe)
 
Если Вы этого не понимаете, Вы криво ориентируетесь, и потому криво оцениваете достоинства и недостатки вариантов
В частности, сложное Вам кажется простым, а простое сложным.
И этим искажения не исчерпываются.





Пошел вон. На месяц.

Всего записей: 17727 | Зарегистр. 14-10-2001 | Отправлено: 14:15 21-02-2020 | Исправлено: KLASS, 14:22 21-02-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
generator324
Не надо ничего продолжать. Закончили.
И оффтопы писать не надо.
Все на этом.

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 14:24 21-02-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Создание правила брандмауэра для службы, работающей через svchost.exe
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/create-an-inbound-program-or-service-rule  
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/create-an-outbound-program-or-service-rule
Ad
en-us в ссылках можно заменить на ru-ru, будет на корявом русском.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 09:59 23-02-2020 | Исправлено: shadow_member, 11:37 24-02-2020
gmnrus

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пожалуйста, подскажите кому конкретно дать доступ в интернет, для первого запуска установленным через скрипт appx приложениям?
То есть, если все же установить appx приложения без доступа в интернет нельзя, то хотя бы тогда как открыть минимально необходимый доступ?
 
Есть задача установить с магазина десяток утилит необходимых для работы ноутбука (ASUS), а устанавливать магазин и вообще пускать винду в интернет сильно не хотелось бы (Win10LTSC). Через сайт store.rg-adguard.net .appx приложения скачиваются, без проблем устанавливаются, а вот при запуске (автозапуск или через мени пуск) пишет что сетевая ошибка, windows не может получить доступ к файлу в папке \WindowsApps (код ошибки 0x800704cf, сетевая папка не доступна). Самим утилитам для работы доступ в сеть не нужен. Нарыл только то, что первом запуске приложений обязательно должен быть доступ в интернет...

Всего записей: 5 | Зарегистр. 05-12-2019 | Отправлено: 18:36 06-03-2020
fakel33



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gmnrus

Цитата:
Пожалуйста, подскажите кому конкретно дать доступ в интернет, для первого запуска установленным через скрипт appx приложениям?
То есть, если все же установить appx приложения без доступа в интернет нельзя, то хотя бы тогда как открыть минимально необходимый доступ?  

Установите Process_Hacker_v3.0.2496_for_1607_1809_RUS.7z (здесь или здесь) и смотрите куда и по каким портам-протоколам стучатся Ваши приложения.

Всего записей: 1202 | Зарегистр. 22-08-2003 | Отправлено: 21:47 06-03-2020
gmnrus

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
fakel33

Благодарю за ответ, но к сожалению это не так просто сделать. Мои приложения при установке и первом запуске в интернет не лезут вообще, интернет им для установки и не нужен. Доступ нужен винде (svchost.exe, 443 порт), а это сразу куча служб. И как понять каким именно службам дать доступ в интернет для установки appx приложений?
 
 
 

Всего записей: 5 | Зарегистр. 05-12-2019 | Отправлено: 13:22 07-03-2020
mad runner

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
кто-нибудь пробовал так настроить брандмауэр в домене, через GPO на КД?

Всего записей: 19 | Зарегистр. 22-05-2018 | Отправлено: 16:23 29-03-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru