Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Еще одна программа для удобства создания правил Firewall App Blocker | FAB.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 12:52 08-09-2024
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
 
Порты для основных сетевых служб описаны в RFC 6335, алфавитный список Know TCP/IP (TCP and UDP) ports list (based on RFC 6335) я выложил. Прошу.
 
Добавлено:
Вы немного неверно представляете себе модель защиты. Если брандмауэр локальный т.е. стоит до сетевого адаптера и работает под управлением локальной ОС, то он имеет доступ к списку процессов, а использует его или нет это уже зависит от его реализации. А если он расположен за сетевым интерфейсом, т.е со стороны внешней по отношению к машине сети, то он ничего не знает о том какие задачи на ней считаются и оперирует суммарным трафиком имеющим один источник - локальную машину и произвольное число удалённых адресатов.

Всего записей: 34345 | Зарегистр. 31-07-2002 | Отправлено: 17:19 15-01-2018
danetz

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я вобще короче ничего не понял. Правило майкрософта написаное словами в шапке полностью совпадает с формальным правилом соединения свхоста на 53 порт? Или оно более узкое? Удаленный порт однозначно указывает нам на используемую свхостом службу или нет? В моем первоначальном представлении было что это не так и я спрашивал про соединение локальный порт - удаленный порт. Думая что локальным портом мы задаем службу а удаленным портом - вид запроса (днс запрос). ОБьясните кто нибудь на пальцах

Всего записей: 403 | Зарегистр. 25-02-2012 | Отправлено: 21:27 15-01-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
У меня DNS
протокол UDP
любой локальный порт и любой локальный адрес
удаленный порт 53 и удаленный адрес IP роутера
Ставьте так и не ломайте голову.

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 23:54 15-01-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
 
svchost.exe как и rundll32.exe это пара системных контейнеров для запуска в них других программ. В первом запускаются произвольные сервисы которые настроены на запуск в общем контейнере, во втором программы оформленные как DLL так как могут быть запущены только по вызову EXE-модуля. И смысла писать персональное правило типа deny svchost TCP/UDP:*:53 exclude TCP:192.168.1.27:53 нет - оно у вас никогда не сработает ибо svchost.exe умеет только взаимодействовать с SCM (Service Control Manager) передавая ему статус состояния запущенных в нём служб, а им от него команды управления, да и ещё умеет логи писать. Потому придётся обезличить правило запрета - часто запущенные в контейнере svchost службы оформлены в виде DLL, например:
 
AudioSrv демон Windows Audio  C:\Windows\System32\Audiosrv.dll
Dhcp демон  DHCP-клиент C:\Windows\system32\dhcpcore.dll
eventlog демон Журнал событий Windows C:\Windows\System32\svchost.exe
HomeGroupProvider демон Поставщик домашней группы C:\Windows\system32\provsvc.dll
lmhosts демон Модуль поддержки NetBIOS через TCP/IP C:\Windows\System32\lmhsvc.dll
wscsvc демон Центр обеспечения безопасности C:\Windows\System32\wscsvc.dll

 
и все они запущены в общей копии svchost.exe, а в ОС у вас таких копий всегда несколько, и в каждой свой набор демонов. Так что правило превращается в обезличенное deny * TCP/UDP:*:53 exclude TCP:192.168.1.27:53 и иначе никак...

Всего записей: 34345 | Зарегистр. 31-07-2002 | Отправлено: 07:19 16-01-2018
danetz

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну как же не сработает, если оно прекрасно работает (только сразу для всех процессов в контейнере цвохост) я сейчас о стороннем фаерволе (комодо)
 
Добавлено:
или вы хотите сказать что если в строннем фаере я пропишу правило вида deny svchost TCP/UDP:*:53 exclude TCP:192.168.1.27:53 то телеметрия будет литься дальше?? Тоесть порт однозначно не указывает ничего???
 
Добавлено:
любая телеметрическая дллка легко подцепится с цвхосту и сольет все по 53му?

Всего записей: 403 | Зарегистр. 25-02-2012 | Отправлено: 10:33 16-01-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Уже говорилось об этом, но из примеров был приведен только Directory Opus, который якобы сливал инфу о регистрации по 53 порту.  У вас есть еще примеры, когда программа сливала бы по 53 порту?

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 10:53 16-01-2018
danetz

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
У вас есть еще примеры

 
И как опус это делал? почему вы думаете что майки не смогут повторить это? Вобще я бы на месте майков сделал так. Для таких как KLASS я бы сделал проверку - елси машина в вируальном окружении я бы не слал телеметрию через 53 цвхоста) И потом бы KLASS думал что все окей)
 
Добавлено:
я так и не понял порт источника влият ли на что то? можно ли фильтровать 53 порт дополнительно? что я вижу когда свхост соединяется с 60100 порта на 53? а с 40000 на 53? этож разные вещи или не?

Всего записей: 403 | Зарегистр. 25-02-2012 | Отправлено: 11:40 16-01-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Эту тему Опуса потеряли на форуме, а тонкости я не помню, помню, что об этом был разговор.
А виртуальное окружение не причем.
Как ранее говорилось здесь, Инет включаем  только после входа в систему
и заливки своих правил, потому как при загрузке системы есть соединения.
Далее запускаем Акулу на хосте и пасем реальный сетевой адаптер.
Когда я этим баловался был полный штиль.

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 11:55 16-01-2018 | Исправлено: KLASS, 12:46 16-01-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
 
Чтобы запустить сторонний модуль в контейнере svchost он должен быть написан как модуль ядра с учётом спецификаций Service Reference (MSDN) иначе он не будет запущен. Так что запустить там что угодно не выйдет, а если вы не перекроете другие каналы утечки данных перекрытие только одного ничего вам не даст.  
 
Задача построения безопасной системы обработки данных с использованием незащищённых или низко защищённых архитектур вычислительных систем решения не имеет в следствии того, что путём изменения средств и направления атаки всегда есть шанс успешного её проведения за приемлемое для атакующего время. Для таких систем можно говорить только об увеличении времени с момента начала атаки до момента её успешного завершения. ОС семейства Windows стараниями корпорации Микрософт по уровню безопасности была снижена с уровня TCSEC С1 до уровня TCSEC D так как для игр и развлечений средства безопасности являются излишними, а ЭВМ для других  задач не применяются.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 34345 | Зарегистр. 31-07-2002 | Отправлено: 12:09 16-01-2018
danetz

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG
ну понятно что мы тут в основном палки в колеса ставим маркетологам а не крутым хацкерам, и все это ради спорта) Никто в здравом уме не поставит вынь глядяющую в сеть на критический обьект
 
KLASS, не в тему холивара - может быть проще сторонний фаер раз проаудировать (там и адресов меньше если что их можно за железным роутером отловить), чем постоянно перезаливать правила в винду? майки то вроде не лезут в сторонние решения и правила там не меняют.  
 
PS А на выключении компа слив был, не помните?
 

Всего записей: 403 | Зарегистр. 25-02-2012 | Отправлено: 13:41 16-01-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Правила льет планировщик, как бы не в тягость.
А сторонний софт... он ведь тоже может лить, проверять надо.
При выключении компа у вас загружен драйвер брандмауэра с вашими правилами.
Опять же, никто не мешает делать все через батник, в котором сначала отключается
сетевой адаптер, а уже после идет перезагрузка\выключение.
Ну а железный брандмауэр-крепче защита.

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 14:10 16-01-2018
danetz

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вобщем вчерась поставил сниффер себе. Комодой закрыто вобще все. кроме процесса system (для локалки) и свхост на 53 порт. Служба днс кэш включена. Влегкую пролазит соединение на 74.82.4.54 по 443 порту. Грустно. Выходит - все бесполезно. Интересно отключение днскэша решит что-то? Я ее кстати отключал сперва. Потом где то тут прочитал мысль что смысла это не несет и включил снова.
 
Добавлено:
что то я не то написал - разрешил только 53 порт а соединение выходит по 443. Может я не так интерпритирую? может снифер отловил пакет а потом комодо его зарезал а явижу будто он ушел? Юзал smartsniffer.

Хватит оффтопить, ссылку дал






Comodo тут не к месту http://forum.ru-board.com/topic.cgi?forum=5&topic=48985&start=1060#lt

Всего записей: 403 | Зарегистр. 25-02-2012 | Отправлено: 10:27 23-01-2018 | Исправлено: KLASS, 10:50 23-01-2018
Bumbik

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
заблокировать в comodo можно, но оно будет пытаться переподключаться снова и снова что еще хуже, еще недавно мне удавалось с помощью hosts избавится от этого, теперь уже не срабатывает, глубоко не копал по этой теме ибо пока семерка жива десятка никогда у меня не станет основной системой
 
п.с. помниться где-то читал что от телеметрии пока еще срабатывает прописать роуты в системе или роутере, в твоем случае это будет нечто похожее:
route -p add 74.82.4.54/32 0.0.0.0 или route -p add 74.82.4.54/32 127.0.0.1
это по идее должно заблокировать весь диапазон, хотя я тут не спец и с этим в другую тему





Нет тут Comodo, шапку темы читайте

Всего записей: 110 | Зарегистр. 29-12-2015 | Отправлено: 17:19 23-01-2018 | Исправлено: KLASS, 17:23 23-01-2018
danetz

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Bumbik
 

 
Правила запрещения - это шаг назад, к сожалению. Похоже разработанная тут методика единственно возможная на данный момент. (не считая очень жесткого выпиливания компонентов и служб - и то я не уверен. Помните то время - банники wetlife работали и было достаточно только их, но майки же становятся умнее. Скоро они станут умнее и встоят в основы сетей основы телеметрии (Тогда смените мой ник на VANGA)). Я просто хотел разобраться можно ли расширить опыт полученный тут на другие средства защиты.  
 
KLASS можете посчитать за флейм, но согласитесь, к варианту описанному мной вы не готовы. Почему бы не распланировать пока есть время. Или вы думаете тоже что других вариантов у нас нет и планировать поэтому невозможно?




Всегда готовы, перекур на три дня

Всего записей: 403 | Зарегистр. 25-02-2012 | Отправлено: 19:39 23-01-2018 | Исправлено: KLASS, 20:00 23-01-2018
aliv



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, что нужно открыть, чтобы сработал slmgr /ato на честно купленной винде для активации через Майкрософт? Спасибо.

Всего записей: 264 | Зарегистр. 23-04-2003 | Отправлено: 01:42 03-02-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aliv
У вас что выдает после того как перекрыли все в брандмауэре?
Возможно Process Hacker покажет после выполнения команды, сам активирую командами
slmgr /ipk (ключ)
slmgr /atp (подтверждение)
потому не ведаю, что в вашем случае должно быть открыто, но интересно бы знать.

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 07:51 03-02-2018
aliv



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
после запуска
 
slmgr /ato
 
Process Hacker показывает желаение
 
c:\windows\system32\wbem\wmiprvse.exe
 
сходить на 443 порт вот этого IP адреса: 65.52.98.233
 
Когда в Windows Firewall Control это ему разрешили, он тут же активировал Windows 10 Enterprise LTSB 2016.
 
IP адрес резолвится в: co2.activation-v2.sls.microsoft.com
 
Интересно, можно ли оставить возможность wmiprvse.exe ходить на 443 порт на любой IP адрес?
Пока правило для этого в WFC запретил.
 
Windows 10 Enterprise LTSB 2016 честно купленная с MAK ключем.

Всего записей: 264 | Зарегистр. 23-04-2003 | Отправлено: 23:55 03-02-2018
danetz

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
aliv

смысл вопроса вашего? этож мак а не кмс. На ОДИН раз открыть фаервол - это впринципе даже не тема обсуждения

Всего записей: 403 | Зарегистр. 25-02-2012 | Отправлено: 09:28 04-02-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
можно ли оставить возможность wmiprvse.exe ходить на 443 порт на любой IP адрес?  

А зачем, раз активировался... прикрыть конечно.

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 10:05 04-02-2018
aliv



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
KLASS
Ок, спасибо. Я просто никогда не сталкивался с MAK ключами, все как-то KMSAutoNET

Всего записей: 264 | Зарегистр. 23-04-2003 | Отправлено: 14:44 05-02-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru