Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Еще одна программа для удобства создания правил Firewall App Blocker | FAB.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 12:52 08-09-2024
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ratiborus
Хорошо, что решили написать гуй на потребу юзерам.
 
Плохо, если занялись изобретением велосипеда.
Начиная с 8.1 можно дёргать такой скрипт:
 

Код:
 
function Export-NetshFirewallRule {
 [CmdletBinding()]  
 
 Param(
    [Parameter(Mandatory=$true,ValueFromPipeline=$true)]  
    [CimInstance[]] $Rule
 )
 
 process {
        $Name = $($psitem.DisplayName)  
        $Direction = $($psitem.Direction) -replace 'bound',''  
        $Action = $psitem.Action  
        $Profile = $psitem.Profile  
        $Program = ($psitem | Get-NetFirewallApplicationFilter).Program  
        $Protocol = ($psitem | Get-NetFirewallPortFilter).Protocol  
        $Remoteport = ($psitem | Get-NetFirewallPortFilter).RemotePort -join ','  
        $Remoteip = ($psitem | Get-NetFirewallAddressFilter).RemoteAddress -join ','  
 
        #сцуко netsh хочет непременно двойные кавычки  
        $Doublequote='#'  
 
        $result = "netsh advfirewall firewall add rule name=#$Name# dir=$Direction action=$action profile=$Profile program=#$Program# protocol=$Protocol remoteport=$Remoteport remoteip=$Remoteip"
        $netsh = $result -replace $Doublequote,'"'
 
        $netsh
 }
}
 
#ЗДЕСЬ КАКИЕ ПРАВИЛА НА ВХОД КОМАНДЛЕТА ПОДАДИТЕ ТАКИЕ И ЭКСПОРТИРУЮТСЯ
 
$rules = Get-NetFirewallRule -DisplayName '*DHCP*','*HTTP*'
$rules | Export-NetshFirewallRule
 







Всего записей: 17739 | Зарегистр. 14-10-2001 | Отправлено: 17:02 07-03-2017 | Исправлено: LevT, 10:07 08-03-2017
Gosuto



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну и экспорт-импорт, чтоб минуя все батники и т.п.
 
Добавлено:
скрипт неудобен, мороки больше, imnsho
 
Добавлено:
а от такого вообще башню может снести, неподготовленным

Цитата:
#сцуко netsh хочет непременно двойные кавычки  


Всего записей: 5619 | Зарегистр. 09-11-2015 | Отправлено: 17:03 07-03-2017 | Исправлено: Gosuto, 17:05 07-03-2017
Ratiborus



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Утила исключительно для того чтобы послать своё правило другому.

----------
My site/forum
"Если программа работает, значит в ней ничего не нужно менять"©

Всего записей: 9333 | Зарегистр. 18-06-2005 | Отправлено: 17:08 07-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gosuto

Цитата:
скрипт неудобен, мороки больше, imnsho

 
вопрос вкуса: кто-то любит ананас, а кто-то свиной хрящик.
Меня вот категорически задолбали повторяющиеся действия в окошках.
 
ПММ, окошки хороши, когда надо сориентироваться в новой для себя предметной области. И то если UI сделан грамотно.
 
 
Вот например есть программа robocopy.exe со страшными ключами, и не менее страшные гуёвины к ней.
А есть DSC ресурс xRobocopy: те же самые настройки представлены на человеческом английском _языке_ с подсказками и автодополнением.
(Желающие могут заняться русской локализацией: инфраструктура для этого в пошике есть).
 
 
Добавлено:
Ratiborus

Цитата:
Утила исключительно для того чтобы послать своё правило другому.

 
Так и скриптик для того же
Причём логика выбора правил для экспорта вшита в Powershell и задаётся ключами  
Get-NetFirewallRule -DisplayName 'Voyager', '*DHCP*'  -ещёмногоключей
 
 
 
 
Добавлено:
Ratiborus
И ещё: написание представленного скриптика у меня заняло полчаса-час.
А сколько Вашего времени отняла эта утилита?

Всего записей: 17739 | Зарегистр. 14-10-2001 | Отправлено: 17:14 07-03-2017 | Исправлено: LevT, 17:27 07-03-2017
Ratiborus



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Чуть больше часа. С перекурчиками. В ней ни чего сложного, она на Пурике.

----------
My site/forum
"Если программа работает, значит в ней ничего не нужно менять"©

Всего записей: 9333 | Зарегистр. 18-06-2005 | Отправлено: 17:28 07-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ratiborus
 
А теперь сравните функциональность )
 
 
Добавлено:
И настраиваемость.
 
Добавлено:
И объём кода тоже.  
И его читабельность: что-то слегка подправить может любой человек с базовыми понятиями лишь.
 

Всего записей: 17739 | Зарегистр. 14-10-2001 | Отправлено: 17:32 07-03-2017 | Исправлено: LevT, 17:38 07-03-2017
Ratiborus



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT

Цитата:
И объём кода тоже

Вот про объём не будем. Плюсуйте ко всем своим прожкам и скриптам папку "c:\Windows\Microsoft.NET\Framework\v4.0.30319\".
Последние версии pidgenx.dll не работают на XP. Наверное и её на шарпе писали....

----------
My site/forum
"Если программа работает, значит в ней ничего не нужно менять"©






Всего записей: 9333 | Зарегистр. 18-06-2005 | Отправлено: 17:43 07-03-2017 | Исправлено: KLASS, 18:28 07-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ratiborus

Цитата:
Вот про объём не будем.  

дык это детали рантайма, который и так у всех есть.
Я об объёме кода, который надо понимать для того, чтобы утилиту поддерживать.
 
Но предупреждаю, что нужный модуль NetSecurity есть только начиная с 8.1  
для более ранней винды можно скрипт поправить, воспользовавшись сторонним модулем (найдя его в галерее через Find-Module)
 

Всего записей: 17739 | Зарегистр. 14-10-2001 | Отправлено: 17:48 07-03-2017 | Исправлено: LevT, 17:50 07-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

 
ДА! Я совсем забыл написать про очевидную для себя фичу пошика
 
$rules = Get-NetFirewallRule -DisplayName '*DHCP*','*HTTP*' | Out-GridView -PassThru
 
Если дописать выделенное жирным, то получается ГУЙ!
С возможностью искать и фильтровать, а также выделить только нужные строчки и передать инструменту-командлету
 

Всего записей: 17739 | Зарегистр. 14-10-2001 | Отправлено: 09:26 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добавил утиль FireWallRulesParser в шапку.
Всяко удобней юзеру, чем
Цитата:
ЗДЕСЬ КАКИЕ ПРАВИЛА НА ВХОД КОМАНДЛЕТА ПОДАДИТЕ ТАКИЕ И ЭКСПОРТИРУЮТСЯ  


Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 09:26 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
Выдача:
Код:
 
netsh advfirewall firewall add rule name="Core Networking - Dynamic Host Configuration Protocol for IPv6(DHCPV6-In)" dir=In action=All
ow profile=Any program="%SystemRoot%\system32\svchost.exe" protocol=UDP remoteport=547 remoteip=Any
netsh advfirewall firewall add rule name="Core Networking - IPHTTPS (TCP-In)" dir=In action=Allow profile=Any program="System" protoco
l=TCP remoteport=Any remoteip=Any
netsh advfirewall firewall add rule name="Core Networking - Dynamic Host Configuration Protocol (DHCP-Out)" dir=Out action=Allow profi
le=Any program="%SystemRoot%\system32\svchost.exe" protocol=UDP remoteport=67 remoteip=Any
 

 
 
Добавлено:
KLASS

Цитата:
Всяко удобней юзеру, чем  

 
Юзеру-ХАЛЯВЩИКУ-МЫШЕВОЗУ-ВЫЕЗЖАЮЩЕМУ НА ЧУЖОМ ГОРБУ может быть и удобно...  но для разработчика трудоёмко.
 
А с пошиком разработчики могут сосредоточиться на полезном функционале.

Всего записей: 17739 | Зарегистр. 14-10-2001 | Отправлено: 09:31 08-03-2017 | Исправлено: LevT, 09:43 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT

Цитата:
Юзеру-ХАЛЯВЩИКУ-МЫШЕВОЗУ-ВЫЕЗЖАЮЩЕМУ НА ЧУЖОМ ГОРБУ

А где ты других то видел юзеров

Цитата:
Выдача:

А как это выдать не понял?

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 09:44 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
А где ты других то видел юзеров

 
Дык ресурсы разработчиков ограничены, на всё сразу не хватит.
Или ублажать халявщиков, или в кругу себе подобных заниматься полезными проектами (которые недоступны пониманию халявщиков).
Халявщикам тоже потом перепадут какие-нибудь результаты этой работы.
 
ЗЫ. Как выдать - взгляни чуть выше.

Всего записей: 17739 | Зарегистр. 14-10-2001 | Отправлено: 09:47 08-03-2017 | Исправлено: LevT, 09:51 08-03-2017
Gosuto



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Юзер-ХАЛЯВЩИК-МЫШЕВОЗ-ВЫЕЗЖАЮЩИЙ НА ЧУЖОМ ГОРБУ

.....)))
А что гласит принцип Оккама?

Цитата:
Не следует множить сущее без необходимости

Пока будет в таком виде:

Код:
netsh advfirewall firewall add rule name="Core Networking - Dynamic Host Configuration Protocol for IPv6(DHCPV6-In)" dir=In action=All  
ow profile=Any program="%SystemRoot%\system32\svchost.exe" protocol=UDP remoteport=547 remoteip=Any  
netsh advfirewall firewall add rule name="Core Networking - IPHTTPS (TCP-In)" dir=In action=Allow profile=Any program="System" protoco  
l=TCP remoteport=Any remoteip=Any  
netsh advfirewall firewall add rule name="Core Networking - Dynamic Host Configuration Protocol (DHCP-Out)" dir=Out action=Allow profi  
le=Any program="%SystemRoot%\system32\svchost.exe" protocol=UDP remoteport=67 remoteip=Any

оно подавляющему большинству пользователей и даром не нужно.
это я ответственно, как "халявщик", заявляю
 
Добавлено:
вообще-то, мы все - "партнеры"

Всего записей: 5619 | Зарегистр. 09-11-2015 | Отправлено: 09:56 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Так эта "выдача" в нижнем окне ISE, тьфу ты... я те говорю, как скопировать, например, одну команду добавления правила из гуйного окна? Может ли пошик добавить такую команду в ГУЙ?

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 10:02 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gosuto
Если у разработчиков останутся ресурсы после сложной совместной деятельности
 
 
 
Добавлено:
KLASS
Ты выбираешь в гуе нужные строчки - и только они оказываются в переменной.
Которая дальше подаётся на вход командлета  | Export-NetshFirewallRule
 
 

Всего записей: 17739 | Зарегистр. 14-10-2001 | Отправлено: 10:03 08-03-2017 | Исправлено: LevT, 10:07 08-03-2017
Gosuto



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT, ну вроде же есть инструменты, powershell studio там, еще какие-то конвертеры в exe. Можно же сделать нормальную, удобную утилиту (если ps так мощен)?

Всего записей: 5619 | Зарегистр. 09-11-2015 | Отправлено: 10:07 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gosuto
Кому это надо, тот пусть этим и занимается
А меня заботит ПОЛЕЗНЫЙ функционал.
 
 
Добавлено:
 
Совершенно не обязательно делать гуй именно на пошике.
Кто умеет быстро делать гуй в чём угодно, может дёргать полезные функции пошика.

Всего записей: 17739 | Зарегистр. 14-10-2001 | Отправлено: 10:08 08-03-2017 | Исправлено: LevT, 10:12 08-03-2017
Gosuto



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
хмм, жаль. ну тогда будет прямо по Шекспиру:

Цитата:
And enterprises of great pith and moment
With this regard their currents turn awry,
And lose the name of action.

Всего записей: 5619 | Зарегистр. 09-11-2015 | Отправлено: 10:11 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gosuto
Короче, кому надо ехать - те выбирают пошик.
 
От описанных вами потреблятствующих юзеров всё равно никакого проку для совместного проекта.
Но в результате и им что-то перепадёт - притом больше и лучшего качества.
 
 
Добавлено:
 

Цитата:
Пока будет в таком виде:
 
Код:
netsh advfirewall firewall add rule name="Core Networking - Dynamic Host Configuration Protocol for IPv6(DHCPV6-In)" dir=In action=All  
 
оно подавляющему большинству пользователей и даром не нужно.  

 
Это выдача в том именно формате, который заказывал юзерствующий KLASS
 
Вы не понимаете главного: с результатом выборки (массивом из объектов [CimInstance]) можно дальше делать что только позволяет фантазия. Например, применить по сети к соседнему компьютеру.

Всего записей: 17739 | Зарегистр. 14-10-2001 | Отправлено: 10:15 08-03-2017 | Исправлено: LevT, 10:22 08-03-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru