Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Еще одна программа для удобства создания правил Firewall App Blocker | FAB.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: KLASS, 12:52 08-09-2024
Gosuto



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Зачетная тема
Вот, наверно, одним из первых приложений, т.е. правил для него, по идее должен стать скайп.
Многие ведь им пользуются.

Всего записей: 5619 | Зарегистр. 09-11-2015 | Отправлено: 23:16 05-03-2017
freeman440

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
наверное связанное с NetBios не стоит отключать, иначе к инету нет подключенияНе дает подключиться к инету после
Цитата:
Блокируем все исходящие подключения
и на этом я завис

Всего записей: 2521 | Зарегистр. 17-09-2008 | Отправлено: 00:07 06-03-2017 | Исправлено: freeman440, 00:45 06-03-2017
uncleShi



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не америки открытие конечно, но кое-что полезное для топика можно подсмотреть в стороннем софте:

-

Всего записей: 3052 | Зарегистр. 29-05-2003 | Отправлено: 00:34 06-03-2017 | Исправлено: uncleShi, 00:35 06-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
freeman440
Если все отключили это ожидаемо, про Process Hacker в шапке прочитали?. Запускаете и смотрите, куда ломится ваш браузер.
Сам юзаю Cent Browser, 2 правила для него TCP и UDP, одно правило в одну строку, все что красным подставить свое:

Цитата:
 
netsh advfirewall firewall add rule name="CentBrowser (TCP - исходящий трафик)" dir=out action=allow profile=public,private protocol=TCP remoteport=80,443,1080,182,8080 program="Путь_к_программе\chrome.exe"
 
netsh advfirewall firewall add rule name="CentBrowser (UDP - исходящий трафик)" dir=out action=allow profile=public,private protocol=UDP remoteport=53 remoteip=IP_DNS_серверов_провайдера_через_запятую_без_пробела program="Путь_к_программе\chrome.exe"

 
Добавлено:
Да, и "Отключаем все правила M$" иначе, телеметрия, как лилась так и будет литься.

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 08:28 06-03-2017 | Исправлено: KLASS, 08:44 06-03-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
qw12
Цитата:
Можете эти диапазоны добавить в свой фаервол. Гы.  
, и Скайп не будет работать.
Блокирование диапазонами вещь хрупкая.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 09:30 06-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gosuto
Скайпу вряд ли создашь ограниченное правило, запусти Process Hacker на вкладке Firewall и запусти Скайп. Там туева хуча IP и портов по которым он шарится. Так что создаешь два обычных правила (входящее и исходящее) для Скайпа, где все разрешено.

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 17:26 06-03-2017 | Исправлено: KLASS, 17:34 06-03-2017
freeman440

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
про Process Hacker в шапке прочитали?. Запускаете и смотрите, куда ломится ваш браузер.

чистое окно и ничего в нем не происходит, может чего надо настроить?
Для создания правил воспользовался Windоws Firewall Control и в нем уже создал правила, нужные для подключения к инету:
-Хост-процесс для служб Windows (svchost.exe) - пришлось разрешить любой удаленный адрес и удаленный порт, иначе количество уведомлений сводит с ума
-System (System)

Всего записей: 2521 | Зарегистр. 17-09-2008 | Отправлено: 17:37 06-03-2017
MR_DesigneR



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
чистое окно и ничего в нем не происходит, может чего надо настроить?  

freeman440
От админа прогу запускайте.

Всего записей: 14549 | Зарегистр. 06-09-2014 | Отправлено: 17:42 06-03-2017
freeman440

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MR_DesigneR: (17:42 06-03-2017)
Цитата:
От админа прогу запускайте.

не понял? неужели еще кто-то сидит с обычными правами на своем ПК?

Всего записей: 2521 | Зарегистр. 17-09-2008 | Отправлено: 17:45 06-03-2017
MR_DesigneR



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
freeman440
 Учётка с правами, но фаер в проге у меня шуршит только от админа)

Всего записей: 14549 | Зарегистр. 06-09-2014 | Отправлено: 17:49 06-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
freeman440
вот от таких-то, кто сидит с админскими правами, и придумана защита.
ПКМ "Run as Administrator"

Всего записей: 17739 | Зарегистр. 14-10-2001 | Отправлено: 17:49 06-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
freeman440
От админа, стало-быть по правой кнопке

Цитата:
-Хост-процесс для служб Windows (svchost.exe) - пришлось разрешить любой удаленный адрес и удаленный порт, иначе количество уведомлений сводит с ума

Стало-быть разрешили телеметрию... низя так настраивать, иначе можно было ничего не делать и работать с правилами по умолчанию.
 
Добавлено:
Кстати, о каких уведомлениях идет речь?
 
Добавлено:
Добавил в шапку запись "Открываем Process Hacker от имени администратора (по ПКМ)..."

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 17:49 06-03-2017
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
freeman440

Цитата:
(svchost.exe) - пришлось разрешить любой удаленный адрес и удаленный порт

Совершенно неправильно. Пальцев на одной руке больше, чем ему нужно правил.
Цитата:
, иначе количество уведомлений сводит с ума
Регулируется настройками Windоws Firewall Control, в итоге для svchost.exe разрешено очень мало, а сообщений о его попытках соединения нет совсем, хотя в логах записей о попытках полно.
В общем, стоит изучать соответствующую тему и настраивать правильно.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 18:02 06-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
freeman440
Понятно, что за уведомления... от Windоws Firewall Control
Я же вам дал правила для браузера (Windоws Firewall Control не нужен вовсе), для любого гуглохрома пойдет и не только.
Какой браузер и ОС?
 
Добавлено:
У меня для svchost одно отключенное правило, которое включаю изредка и временно через батник при отправке файлов по WebDav на ЯДиск только по UDP 53 и только на внутренние IP, типа 192.168.х.х. и DNS провайдера. Все остальное время у этого процесса нет хода вообще никуда, кроме DHCP, разумеется.
 
Добавлено:
Если ему нужна внутренняя сеть, то так и указывайте ему диапазон IP адресов сетки, все остальное низя.

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 18:09 06-03-2017 | Исправлено: KLASS, 18:18 06-03-2017
freeman440

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
вот от таких-то, кто сидит с админскими правами, и придумана защита.  ПКМ "Run as Administrator"


Цитата:
От админа, стало-быть по правой кнопке

ну не работает хоть пкм, хоть акм, хоть еще что

Всего записей: 2521 | Зарегистр. 17-09-2008 | Отправлено: 18:25 06-03-2017
MR_DesigneR



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
freeman440
Просто перезапустить потом прогу, - должна заработать.

Всего записей: 14549 | Зарегистр. 06-09-2014 | Отправлено: 18:30 06-03-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
Скайпу вряд ли создашь ограниченное правило, запусти Process Hacker на вкладке Firewall и запусти Скайп.
Скайпу да - ему лучше создать разрешающие правила и ограничить их блокирующими.

Всего записей: 32299 | Зарегистр. 15-09-2001 | Отправлено: 18:30 06-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
и ограничить их блокирующими

А блокировать какие IP? То что в списках по инету про телеметрию и которые постоянно меняются?
 
Добавлено:
freeman440
Походу вы на вынь 7, попробуйте предыдущую версию Process Hacker

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 18:37 06-03-2017 | Исправлено: KLASS, 19:56 11-03-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
А блокировать какие IP?
Я раньше не IP блокировал, а домены (apps.skype.com и т.д.) - рекламу не показывало...

Всего записей: 32299 | Зарегистр. 15-09-2001 | Отправлено: 18:57 06-03-2017 | Исправлено: WildGoblin, 19:15 06-03-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru