Бесконтрольность Windows 10.
Автор: Victor_VG,
svchost это оболочка SCM (Service Control Manager) по решаемым задачам сходная с rundll32 - контейнер для запускаемых в его контексте процессов, посмотреть кто в нём работает можно, хотя как узнать трафик отдельно взятого демона когда сама ось даже на уровне ядра не предоставляет таких средств надо думать. Но, можно попробовать с помощью Process Hacker решить задачу так - смотрим кто и сколько отослал настроив главное окно по колонкам, дальше просто - подвели курсор к svchost в колонке Name и смотрим а кто в его процессе крутится, дальше идём на вкладку Services и по описаниям смотрим кто и за что отвечает. Думаю скорее всего потребители это демоны обновления ПО и/или сбора телеметрии. Их обычно можно безопасно для работы ОС выключить. В РН для этого есть все средства. А после посмотреть что даст данная настройка.
..
берём, к примеру, тот же SVCHOST.EXE и начинаем разрешать ему только то что нужно нам (максимально прикрывая ворота) - обновление винды, синхронизация времени и т.д.
...
Теперь в NetBalancer будет проще запретить многие источники сетевой активности, обычно спрятанные за svchost
...
Не исключается, что стукачи будут сидеть как раз в сгруппированных (как и ранее) системных службах, которые не тока переименовать, но и дотронувшись до них получаем синьку\перезагрузку для восстановления работоспособности, читай сткука
...
WildGoblin прав на предмет «белого списка», кому не лень - отрубите все правила в WFC (Уведомления -> Высокий) и посмотрите на активность svchost.exe, ему нужно всего 3 правила для нормальной работы сети, правила программ каждый выбирает сам...
К примеру - я могу предоставить список првил для того же uTorrent с жесточайшими ограничениями, при этом 99% пользователей не на одном трекере не сможет полноценно поднимать свой рейтинг (со всеми вытекающими...)
...
Если бы не процессы svchost, которые по сути - чёрный ящик, можно было бы им выдать конкретные узкие права, заблочить исходящие, некоторые входящие и все проги (включая любые новые в два клика) окромя нужных, и получить то же самое, что у тебя сейчас в БМ. KIS может быть грубым и жестоким - если бездумно душить svchost, можно улететь в синьку.
...
Так вроде выше уже сказал WildGoblin, что svchost'у не давать узкие права надо, а наоборот, все отобрать, включая DNS. Вместо этого разрешать UDP 53 нужным программам и тока на ДНС-сервера провайдера + службу DNS-клиент отключить, если все правильно понял.
...
Но отсылать данные на порт 53 можно не только на DNS-сервер, т.е. Windows теоретически может использовать эту лазейку, если в файерволе процессу svchost разрешён выход на порт 53 (по любому адресу).
..
Во первых - не надо разрешать любые исходящие svchost на порт 53, а во вторых от внедрения в процесс svchost поможет только проактивка и т.п..
..
предполагаю (наивно, но эмпирически проверенно) что винда у меня заткнутая и через svchost какое нибудь нативное виндовое приложение не тырит у меня пароль. |
зарублен). 
