Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Еще одна программа для удобства создания правил Firewall App Blocker | FAB.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 12:52 08-09-2024
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
chq
Ну ты же не каждый день обновления проверяешь, так что можно перетерпеть. Если без надстройки WFC, то понятно, что лезть в дебри брандмауэра неудобно, тогда создай батник на вкл-выкл, да и всего делов.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 16:02 07-05-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member

Цитата:
тогда создай батник на вкл-выкл, да и всего делов.

Какой тогда смысл вообще трогать брандмауэр? Если уж начали настраивать, то настраивать его надо по взрослому и контролировать любые соединения. Тему для того и открыли, чтобы юзер учился контролировать, а не вкл\выкл брандмауэр, если приспичило и он потерялся.

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 16:30 07-05-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Не брандмауэр вкл-выкл , а правило для svchost по портам 80, 443. Так даже САМ разработчик WFC делает
А так я всеми тремья руками за- не отключать брандмауэр и антивирус.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 17:10 07-05-2017
boi1eI

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Цитата:
Не брандмауэр вкл-выкл  , а правило для svchost по портам 80, 443. Так даже САМ разработчик WFC делает  
Так для чего это надо, может кто-то популярно объяснить? Не в духе "чтоб не ходил налево", а на конкретных примерах, что именно предотвращается этой блокировкой.

Всего записей: 1645 | Зарегистр. 02-10-2014 | Отправлено: 17:43 07-05-2017
masterlola

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sweepp

Всего записей: 86 | Зарегистр. 30-08-2015 | Отправлено: 19:25 07-05-2017 | Исправлено: masterlola, 17:26 10-05-2017
chq



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Батник создан #, просто так не интересно. А вот то, что для сервиса обновлений нельзя создать правило, со слов masterlola, мне совсем не по душе. Ладно, тогда уж с IP поиграюсь. Но Microsoft говорит:  
Если правилами организации запрещено, чтобы используемые веб-сайтом WSUS порты и протоколы были открыты для всех адресов, можно ограничить доступ к перечисленным ниже доменам, чтобы службы WSUS и служба автоматического обновления могли обмениваться данными с Центром обновления Майкрософт.
_ttp://windowsupdate.microsoft.com
_ttp://*.windowsupdate.microsoft.com
_ttps://*.windowsupdate.microsoft.com
_ttp://*.update.microsoft.com
_ttps://*.update.microsoft.com
_ttp://*.windowsupdate.com
_ttp://download.windowsupdate.com
_ttp://download.microsoft.com
_ttp://*.download.windowsupdate.com
_ttp://test.stats.update.microsoft.com
_ttp://ntservicepack.microsoft.com
Так что постает вопрос, не будут ли для региона адреса IP изменятся?  
 

Всего записей: 543 | Зарегистр. 03-08-2011 | Отправлено: 23:23 07-05-2017 | Исправлено: chq, 23:25 07-05-2017
masterlola

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sweepp

Всего записей: 86 | Зарегистр. 30-08-2015 | Отправлено: 01:23 08-05-2017 | Исправлено: masterlola, 17:24 10-05-2017
Gorkiy

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если у вас не работает функция синхронизации времени, запускаемая для обслуживания системы (Windows 10 ltsb) из 1_settings.bat, сделанный Westlife, то в правила брандмауэра добавьте правило:

Код:
netsh advfirewall firewall add rule name="Синх. врем a-settings.bat (ICMPv4 - исходящий трафик)" dir=out action=allow profile=public,private protocol=ICMPv4 remoteip=74.125.232.194-74.125.232.206


Всего записей: 12 | Зарегистр. 05-03-2017 | Отправлено: 16:32 08-05-2017 | Исправлено: Gorkiy, 16:45 08-05-2017
chq



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
masterlola
Перебрал ряд адресов, на которые идет обращение, просканировал и взял диапазоны, принадлежащие Microsoft, все равно толку ноль.

Всего записей: 543 | Зарегистр. 03-08-2011 | Отправлено: 20:28 09-05-2017 | Исправлено: chq, 22:40 09-05-2017
masterlola

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sweepp

Всего записей: 86 | Зарегистр. 30-08-2015 | Отправлено: 21:41 09-05-2017 | Исправлено: masterlola, 17:24 10-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
masterlola

Цитата:
Загрузите и запустите последнюю версию NetworkTrafficView.
Зачем оно тут? Есть же всем известный Tcpview и ещё over9000 прог позволяющих посмотреть что и куда ходит.

Всего записей: 32308 | Зарегистр. 15-09-2001 | Отправлено: 13:20 10-05-2017 | Исправлено: WildGoblin, 15:10 10-05-2017
Inoz2000



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NetworkTrafficView рекомендуется в шапке.
 
известныq — подобная опечатка частенько встречается на форуме. каково её происхождение?

----------
Мы все умрём. (-:

Всего записей: 5231 | Зарегистр. 23-04-2009 | Отправлено: 13:33 10-05-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
На вкус и цвет... по мне Хакер лучше кажет, входящие\исходящие, подсветка красным, что блокировано, если отключить "Обновлять автоматически", то в Хакере новые соединения продолжают поступать и отображаться, при этом, старые соединения не пропадают из окна, что удобно, когда тех соединений много и пользователь сидит и разбирается, что ему открыть, а что необязательно. Одна проблема в Хакере, то что низя скопировать удаленный адрес или хотя бы всю строку.
 
Добавлено:
Inoz2000

Цитата:
известныq

Клаву переключили на другой язык, ивестныq и пошло что-то на английском, например, Tcpview

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 13:49 10-05-2017
masterlola

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sweepp

Всего записей: 86 | Зарегистр. 30-08-2015 | Отправлено: 14:54 10-05-2017 | Исправлено: masterlola, 17:25 10-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Inoz2000

Цитата:
известныq — подобная опечатка частенько встречается на форуме. каково её происхождение?
Punto Switcher наверное - надо бы попробовать обновить.
 
KLASS

Цитата:
На вкус и цвет... по мне Хакер лучше кажет...
А я ведь и не спорил с этим, но тема-то про тонкую настройку win файервола, а не про сторонние утилиты.

Цитата:
Клаву переключили на другой язык, ивестныq и пошло что-то на английском, например, Tcpview
Нет - "Tcpview" я скопипастил (всё же пунта наверное глючит - у меня годовалой давности версия).
 
masterlola

Цитата:
Никто не говорит, что вы должны использовать NetworkTrafficView, поэтому я прошу прощения за ваши незваных ответы?
Не понял, что вы этим хотели сказать.

Цитата:
Если вы хотите быстро и легко добраться...
Быстро, легко и без стороннего софта добираемся вот так:

Код:
"C:\WINDOWS\System32\perfmon.exe" /res

Запускать с правами админа.

Всего записей: 32308 | Зарегистр. 15-09-2001 | Отправлено: 15:18 10-05-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
С помощью их легче настроить тот брандмауэр (чел показал как с помощью сторонней... а я пользуюсь другой и тоже здесь ранее говорил как), для того и в шапку занесли... или ты против юзания сторонней утилиты
Цитата:
Windоws Firewall Control
, которую сам сюда предложил?
 
Добавлено:
Скажем так:
Учиться пользоваться сторонними программами, разумеется, надо в профильных темах... Но!
Если обсуждаем настройку брандмауэра Windows и при этом используем сторонний софт, то вполне вероятно, что вопрос\ответ (по стороннему софту) всплывут и в этой теме, потому как имеют непосредственное отношение к сабжу. В профильных же темах сторонних программ, настройка Брандмауэра Windows есть оффтоп.
 
Добавлено:
Еще, если возникают вопросы по работе сторонних утилит-идем в профильную тему, если возникает вопрос по настройке брандмауэра Windows с помощью сторонних утилит-обсуждаем здесь. Мальчики-налево, девочки-направо

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 15:34 10-05-2017 | Исправлено: KLASS, 16:00 10-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
...или ты против юзания сторонней утилиты
Нет конечно.

Цитата:
...которую сам сюда предложил?
Не сюда - у неё своих целых две темы.

Цитата:
Еще, если возникают вопросы по работе сторонних утилит-идем в профильную тему, если возникает вопрос по настройке брандмауэра Windows с помощью сторонних утилит-обсуждаем здесь.
Логично!
 

Всего записей: 32308 | Зарегистр. 15-09-2001 | Отправлено: 16:29 10-05-2017
chq



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В каждой из перечисленных выше программ есть свои преимущества и недостатки.  
В Process Hacker, например, не хватает фильтра, PID процесса и паузы прокрутки экрана. Плюс ко всему, экспорт был бы кстати.  
NetworkTrafficView позволяет экспортировать, ну а дальше можно по PID для процеса вывести нужное как то так:  
find /i "1111" "%UserProfile%\Desktop\File.txt" > "%Userprofile%\Desktop\File2.txt"
где "1111" предполагаемый PID, или не по PID, не помню.  
Наверное так find /i "[" "%UserProfile%\Desktop\File.txt" > "%Userprofile%\Desktop\File2.txt"
Предварительно можно найти нужный PID как то так:  
tasklist /svc | find /i "wuauserv"
Как вариан, еще можно использовать netstat -a в связке с find.  
В общем спасибо за помощь, будут успехи, отпишу как и что получилось.

Всего записей: 543 | Зарегистр. 03-08-2011 | Отправлено: 17:36 10-05-2017 | Исправлено: chq, 17:38 10-05-2017
boi1eI

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
chq
Юзайте уже procmon тогда.

Всего записей: 1645 | Зарегистр. 02-10-2014 | Отправлено: 18:01 10-05-2017
chq



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
boi1eI
Уточню, это было сказано к плагину Firewall Monitor программы Process Hacker. Или я не понимаю тогда хода ваших мыслей.

Всего записей: 543 | Зарегистр. 03-08-2011 | Отправлено: 19:04 10-05-2017 | Исправлено: chq, 19:07 10-05-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru