Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Еще одна программа для удобства создания правил Firewall App Blocker | FAB.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 12:52 08-09-2024
Death_INN

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Caravelli

Цитата:
Вы не в курсе, "Запросы к DNS серверу через UDP 53" не идут

А это сообщение по твоему о чем говорит? "Ошибка при выполнении синхр. с тайм виндоус ком. Этот узел не удалось разрешить"

Всего записей: 3548 | Зарегистр. 24-10-2002 | Отправлено: 16:43 08-10-2020
vasyosuol_24

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, как из командной строки (netsh) включить обведённую опцию на картинке:  

Как включить "Общий доступ к файлам и принтерам" знаю:

Код:
netsh advfirewall firewall set rule group="Общий доступ к файлам и принтерам" new enable=Yes

А как быть здесь? netsh весьма скуп на "подсказки" в этом отношении, я так и не понял, как группа должна называться? Windows 7 x64 Ultimate Russian

Всего записей: 1149 | Зарегистр. 16-01-2013 | Отправлено: 22:15 10-10-2020 | Исправлено: vasyosuol_24, 22:16 10-10-2020
vasyosuol_24

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что, решения нету или просто не знает никто?




Правила читаем п. 2.8.3. главы VIII Соглашения по использованию

Всего записей: 1149 | Зарегистр. 16-01-2013 | Отправлено: 15:09 12-10-2020 | Исправлено: KLASS, 15:41 12-10-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vasyosuol_24

Цитата:
Подскажите, как из командной строки (netsh) включить обведённую опцию на картинке:

Эта хня всего лишь вкл/выкл правила из группы File and Printer Sharing.

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32306 | Зарегистр. 15-09-2001 | Отправлено: 20:56 12-10-2020
vasyosuol_24

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
Эта хня всего лишь вкл/выкл правила из группы File and Printer Sharing.

Нет! Это - другая хня
Про "ту" я писал выше - верхняя опция, над обведённой. И код для неё известен, я его приводил там же, ваш "File and Printer Sharing" это и есть "Общий доступ к файлам и принтерам"...

Всего записей: 1149 | Зарегистр. 16-01-2013 | Отправлено: 21:15 12-10-2020
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
Подробнее

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 21:32 12-10-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vasyosuol_24

Цитата:
Нет! Это - другая хня

Это одно и то же, а написано там невнятно потому, что винды древние.
 
Если нужен доступ к общим папкам, то просто включи необходимые правила (а на эти кнопки плевать):
System, Allow, UDP, In-Out, 137 138 445.
 
KLASS

Цитата:
Подробнее

А какое у неё своё имя?
 
(И вообще - профессиональный сленг повышает скорость коммуникации! )

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.





Во флейме спроси, какое имя у хни?

Всего записей: 32306 | Зарегистр. 15-09-2001 | Отправлено: 17:52 13-10-2020 | Исправлено: KLASS, 19:13 13-10-2020
vasyosuol_24

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
Это одно и то же, а написано там невнятно потому, что винды древние.  

Нет. Это - не одно и тоже. Я это уже 3-й раз пишу. Строчка:

Код:
netsh advfirewall firewall set rule group="Общий доступ к файлам и принтерам" new enable=Yes

включает именно "Общий доступ к файлам и принтерам" - верхний пункт над об обведённым. На нижний пункт (обведённый) это не распространяется.
При чём тут "древняя винда"?

Цитата:
Если нужен доступ к общим папкам, то просто включи необходимые правила (а на эти кнопки плевать):
System, Allow, UDP, In-Out, 137 138 445.

Вот это - уже конкретнее, спасибо. Если ещё бы и пример конкретный для netsh было бы вообще замечательно. Или уж хотя бы уточнимся - это правило для процесса System, отличное от дефолтного? Просто у вас как-то всё "свалено в кучу", тут я согласен с KLASS.
Уж коль вы такой , могли бы и нормально написать. Ради приличия, хотя бы...

Всего записей: 1149 | Зарегистр. 16-01-2013 | Отправлено: 18:13 13-10-2020 | Исправлено: vasyosuol_24, 18:14 13-10-2020
harrykkk



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vasyosuol_24

Цитата:
Если ещё бы и пример конкретный для netsh было бы вообще замечательно

Как-то так

Всего записей: 9020 | Зарегистр. 24-02-2013 | Отправлено: 18:34 13-10-2020 | Исправлено: harrykkk, 19:18 13-10-2020
vasyosuol_24

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
harrykkk

Цитата:
"group" не является правильным аргументом для этой команды


Всего записей: 1149 | Зарегистр. 16-01-2013 | Отправлено: 18:53 13-10-2020
harrykkk



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vasyosuol_24
Удали из правил group="...".
Правила делал скриптом из правил на PS. В работе не проверял. В PS аргумент –DisplayGroup вполне валидный.
Например
И вообще, netsh - это каменный век. Пользуйтесь PS.

Всего записей: 9020 | Зарегистр. 24-02-2013 | Отправлено: 19:01 13-10-2020 | Исправлено: harrykkk, 19:17 13-10-2020
vasyosuol_24

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
harrykkk

Цитата:
Удали из правил group="...".  

Удалил. Делает что-то непонятное, толку - 0. Ога, скинул с лог - на каждую комаду выдаёт:

Цитата:
Указано недопустимое значение безопасности

И чему теперь верить в плане работспособности "конструкции"?

Цитата:
И вообще, netsh - это каменный век.

А я, вообще-то, как раз из этого каменного века . И до сих пор вполне хватало - тем более, речь шла о 7-ке, а не о 10-ке...

Цитата:
 Пользуйтесь PS.

Как же вы 3...и с этим PS!
Не вы лично, конечно, а ВООБЩЕ. Не все сидят на 10-ке, и не всё на пошике работает на 7-ке...

Всего записей: 1149 | Зарегистр. 16-01-2013 | Отправлено: 19:45 13-10-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vasyosuol_24

Цитата:
Это - не одно и тоже.

Одно и то же - просто посмотрите правила.

Цитата:
При чём тут "древняя винда"?

На актуальных билдах Win10 это окно выглядит по другому (да даже на Win8 вроде уже по другому там было).

Цитата:
Если ещё бы и пример конкретный для netsh было бы вообще замечательно.

В гуе удобнее - не хочу netsh.

Цитата:
Или уж хотя бы уточнимся - это правило для процесса System, отличное от дефолтного?

Кто мешает проверить самому?

Цитата:
Просто у вас как-то всё "свалено в кучу"...

В кучу?

Цитата:
Уж коль вы такой , могли бы и нормально написать.

Ну куда там ещё нормальнее? Единственно только, что все эти разрешающие правила надо создавать для LocalSubnet - что бы с интернетов даже попыток не было в ваши шары лезть.

Цитата:
Ради приличия, хотя бы...

Ой вэй!
 
harrykkk

Цитата:
Как-то так

Зачем эти простыни когда надо всего лишь два правила - на вход и на выход?

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32306 | Зарегистр. 15-09-2001 | Отправлено: 22:25 13-10-2020
harrykkk



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
надо всего лишь два правила

Учитывая это

Цитата:

Цитата:
я вот тут недавно ВНЕЗАПНО для себя открыл, что дефолтный Windows Firewall на сосиске вертел мои попытки настроить правила для сервисов, они вообще не работают.
 
Там как-то странно - для части сервисов правила работают, а для другой части нет.

из вашего поста, нужно всего лишь другой фаервол.
 
Добавлено:
vasyosuol_24

Цитата:
Делает что-то непонятное, толку - 0

Ну конечно ноль, правила то отключены

Цитата:
enable=no

Их же еще нужно включить через ГУИ, ну или исправить на

Цитата:
enable=yes

Наверное

Всего записей: 9020 | Зарегистр. 24-02-2013 | Отправлено: 23:09 13-10-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
harrykkk

Цитата:
из вашего поста, нужно всего лишь другой фаервол.

Кто мешает использовать правила для программ, а не для сервисов? Для программ оно полностью работает.

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32306 | Зарегистр. 15-09-2001 | Отправлено: 12:39 14-10-2020
harrykkk



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
использовать правила для программ

Ввиду жажды монетизации телеметрии, давно обуявшей MS, нет никакой гарантии, что с очередным обновлением не поломается и это.

Всего записей: 9020 | Зарегистр. 24-02-2013 | Отправлено: 13:46 14-10-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
harrykkk

Цитата:
Ввиду жажды монетизации телеметрии, давно обуявшей MS, нет никакой гарантии, что с очередным обновлением не поломается и это.

Тут есть кому сказать куда идти с такой демагогией...


----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32306 | Зарегистр. 15-09-2001 | Отправлено: 14:05 14-10-2020
Death_INN

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Можно ли как-то средствами фаера или через hosts перенаправлять порт 5222, например, на 6000, а то установлено неск. мессенжеров и все они юзают 5222 или пофиг?

Всего записей: 3548 | Зарегистр. 24-10-2002 | Отправлено: 17:54 14-10-2020
gutasiho

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Death_INN
Фаерволом точно нет, через hosts тоже нет, можно в роутере настроить проброс портов (port forwarding) с удалённого 5222 на локальный 6000, но это будет действовать для всего компа, а не для отдельного приложения. Цель же, я так понял, чтобы каждое приложение имело свой отличающийся локальный порт. Насколько хватает моих соображений.

Всего записей: 7723 | Зарегистр. 14-09-2020 | Отправлено: 19:06 14-10-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Death_INN

Цитата:
Можно ли как-то средствами фаера или через hosts перенаправлять порт 5222, например, на 6000, а то установлено неск. мессенжеров и все они юзают 5222 или пофиг?

Конечно пофиг - они же юзают исходящий порт 5222 и у каждого своя авторизация на сервере...
 
А так-то перенаправлять можно так:
netsh interface portproxy add v4tov4 connectaddress=1.1.1.1 connectport=6000 listenport=5222 listenaddress=127.1.2.1
 
в hosts переопределяем тот адрес на который конектимся (к примеру www.ru)
127.1.2.1 www.ru
 
Понятное дело, что хост должен ждать, что вы будете конектиться на 6000.
 
gutasiho

Цитата:
Цель же, я так понял, чтобы каждое приложение имело свой отличающийся локальный порт.

Локальный порт и так всегда будет разный - если он исходящий.

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32306 | Зарегистр. 15-09-2001 | Отправлено: 00:04 15-10-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru