Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Еще одна программа для удобства создания правил Firewall App Blocker | FAB.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 12:52 08-09-2024
Death_INN

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Caravelli, у меня любые запрещенные правила с 127.0.0.1 не пашут( но я создаю правила через надстройку WFC), а по факту и так все запрещено, если нет разрешающих. А ты в сабжевом фаере правило создавал и других никаких фаеров, работающих в паре с сабжевым нет? Может каспер имеется, т.к. он умеет блочить петли внутри процессов самой системы?

Всего записей: 3548 | Зарегистр. 24-10-2002 | Отправлено: 12:24 07-08-2024 | Исправлено: Death_INN, 12:27 07-08-2024
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Death_INN
А в файле hosts: # 127.0.0.1 localhost?

Всего записей: 2303 | Зарегистр. 01-12-2009 | Отправлено: 12:31 07-08-2024
Death_INN

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Caravelli, в hosts одни комменты. Может кто еще проверит и отпишется, блочится ли у него 127.0.0.1

Всего записей: 3548 | Зарегистр. 24-10-2002 | Отправлено: 15:10 07-08-2024
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Death_INN
Цитата:
в hosts одни комменты
Ну, тогда дико извиняюсь. Всё, что я предложил, касалось богом забытого firewall`а. Подумалось, что для обласканного брандмауэра Windows, проблем не будет

Всего записей: 2303 | Зарегистр. 01-12-2009 | Отправлено: 15:16 07-08-2024
gutasiho

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Брандмауэр Windows не может обрабатывать адреса 127.0.0.1, ::1 (Loopback, Localhost), он не может их ни запретить, ни разрешить. Но уведомления можно отключить, создав запрещающее правило для удаленного адреса 127.0.0.1. Инфо от разработчика WFC.
Ad
Это не открытие, не вдруг, не внезапно, лично мне это стало известно, как начал использовать WFC, т.е. мнооого лет назад, и на форуме я об этой фиче типа заикаюсь уже с десяток раз.

Всего записей: 7715 | Зарегистр. 14-09-2020 | Отправлено: 15:20 07-08-2024 | Исправлено: gutasiho, 08:55 11-08-2024
Sraboti

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Может кто еще проверит и отпишется, блочится ли у него 127.0.0.1  

У меня не блочится (штатный брэндмауэр, Windows 10 x64).
К стати, хочу заметить, что localhost это не один адрес, - там целая подсеть. Для IPv4 - 127.0.0.1/8, для IPv6 - ::1/128.

Всего записей: 143 | Зарегистр. 24-04-2007 | Отправлено: 21:16 07-08-2024
zxcvbn1000

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я так понимаю никаким штатным способом не сделать так, чтобы постоянно меняющие свое местоположение программы имели/не имели доступ в сеть без запроса? Это и opera и chrome и whatsapp и адобовские шпиёны. Вроде в Comodo Firewall есть такая возможность (шаблоны с *), но с ним не все так, как мне хотелось бы.

Всего записей: 47 | Зарегистр. 14-08-2010 | Отправлено: 12:27 11-09-2024
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
не сделать так

Нет. Даже, если шаблон *, то, скорее, такой шаблон закроет\откроет все.
А чего программы меняют вдруг расположения? У меня, кроме офиса, все портативное - куда положил. там и жить будет.

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 13:11 11-09-2024
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zxcvbn1000

Цитата:
Я так понимаю никаким штатным способом не сделать так, чтобы постоянно меняющие свое местоположение программы имели/не имели доступ в сеть без запроса?

Ссылку на программу можно символическую делать и уже ей разрешать выход в сеть.

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32299 | Зарегистр. 15-09-2001 | Отправлено: 13:32 11-09-2024
tnodir

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
чтобы постоянно меняющие свое местоположение программы имели/не имели доступ в сеть без запроса?

Многие сторонние фаерволы поддерживают шаблоны путей.

Всего записей: 498 | Зарегистр. 06-05-2019 | Отправлено: 14:09 11-09-2024
EugenRad

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zxcvbn1000
Можно, что-то подобное сделать, с помощью Windows Control Firewall

Всего записей: 158 | Зарегистр. 04-04-2006 | Отправлено: 15:16 11-09-2024
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
EugenRad

Цитата:
Можно, что-то подобное сделать, с помощью Windows Control Firewall

Нет.


----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32299 | Зарегистр. 15-09-2001 | Отправлено: 16:08 11-09-2024
PaulPSS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Нет. Даже, если шаблон *, то, скорее, такой шаблон закроет\откроет все.
А чего программы меняют вдруг расположения? У меня, кроме офиса, все портативное - куда положил. там и жить будет.


Цитата:
Нет.  

 
Это проблема, однако. AVG при обновлении создает какой-то виртуализированный каталог, откуда запускает icarus.exe для обновления баз. Этот каталог постоянно меняется. Возможно, Аваст делает также. Одного поля ягоды, ведь.  
Буквально пару версий назад стали этот подход использовать. Я им на форум уже писал. Обещали посмотреть, что можно сделать, но... Приходится отключать фв для обновления пока.  
 

Цитата:
Ссылку на программу можно символическую делать и уже ей разрешать выход в сеть.

А это идея. Можно ди делать ссылку на программу, имя которой известно (название файла), но исполняемая директория плавающая?

Всего записей: 33 | Зарегистр. 19-05-2014 | Отправлено: 10:09 12-09-2024 | Исправлено: PaulPSS, 10:10 12-09-2024
Arcadaw

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 А это идея. Можно ди делать ссылку на программу, имя которой известно (название файла), но исполняемая директория плавающая?

Я делал как-то батник на проверку новой папки, куда Аваст при обновлении складывал обновление АВ и обновление баз. Выискивал в этой папке ехе-файл, типа instup_222452.exe. Потом на этот instup с помощью батника создавал правило для виндофаера и Аваст спокойно обновлялся. После обновления - правило удалялось. Попробуйте создать такой батник:
1. Поиск папки, куда кладется инсталлятор.
2. Поиск инсталлятора в этой папке.
3. Создание правила.
4. Установка и удаление правила.
Такой принцип можно использовать для своих нужных хотелок.
 
П.с. Я теперь не обновляю так Аваст. Обновляю 1 раз в квартал вручную. Поэтому такой батник уже не использую.

Всего записей: 1558 | Зарегистр. 25-03-2004 | Отправлено: 10:23 12-09-2024 | Исправлено: Arcadaw, 10:25 12-09-2024
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PaulPSS

Цитата:
Можно ди делать ссылку на программу, имя которой известно (название файла), но исполняемая директория плавающая?

Нет, но можно быстро поменять несколько цифр в батнике, что будет создавать эту ссылку.

----------
Capitalism is the Virus
Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.

Всего записей: 32299 | Зарегистр. 15-09-2001 | Отправлено: 12:01 12-09-2024
PaulPSS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
1. Поиск папки, куда кладется инсталлятор.
2. Поиск инсталлятора в этой папке.
3. Создание правила.
4. Установка и удаление правила.  

Спасибо. Можно попробовать. Заодно и выключить авто обновления и запускать avg с ключом на обновление баз в этом батнике.
 
Кстати, сегодня обновились базы. На днях установил обновление самой программы. Возможно, сделали фолбэк на icarus.exe по стандартному месторасположению, который у меня выпущен в инет. Надеюсь, что не в обход ФВ.
 

Всего записей: 33 | Зарегистр. 19-05-2014 | Отправлено: 12:16 12-09-2024
sparviero

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PaulPSS
 

Цитата:
Is it possible to make a link to a program whose name is known (file name), but the executable directory is floating?

exsample:
 
$packageName = "Chrome"  
$appPath = (Get-ChildItem "C:\Program Files\*WindowsApps$packageName*$appName.exe" -Recurse).FullName
$rule = New-NetFirewallRule -DisplayName ‘Chrome’ -Direction Out; $rule.Group = ‘Chrome’; $rule | Set-NetFirewallRule

Всего записей: 15 | Зарегистр. 21-02-2022 | Отправлено: 11:12 16-09-2024 | Исправлено: sparviero, 00:54 17-09-2024
vistermun

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настройте правильно политики и брандмауэр не понадобится




Набивка постов, выключу и надолго.

Всего записей: 6 | Зарегистр. 26-09-2024 | Отправлено: 08:10 26-09-2024 | Исправлено: KLASS, 08:10 27-09-2024
GPT007

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vistermun

Цитата:
Настройте правильно политики и брандмауэр не понадобится

научи

Всего записей: 169 | Зарегистр. 04-09-2023 | Отправлено: 22:26 26-09-2024
Dacor

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите плиз. Не понимаю насчет сабжа.
Ставлю например браузер комодо, он выходит в интернет. Где разрешающее правило для приложухи?
По какому правилу он выходит в инет?
Иногда правда фаер спрашивает, разрешить приложению выходить в инет, ну и типа создает правило. Такое как вызвать?
Все настройки фаера по дефолту.

Всего записей: 1593 | Зарегистр. 02-08-2007 | Отправлено: 00:48 13-10-2024 | Исправлено: Dacor, 00:49 13-10-2024
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru