Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
4r0

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Caravelli
Какой смысл скрывать DNS-запросы, когда провайдеры сохраняют список всех посещённых IP-адресов?..
А если таким образом обходить блокировки на провайдерских серверах DNS - у меня так заблокированы некоторые сайты, даже неанонимный HTTP(S) прокси позволяет эту блокировку обойти, не говоря уже про TOR.
 
Добавлено:
Caravelli
Какой смысл скрывать DNS-запросы, когда провайдеры сохраняют список всех посещённых IP-адресов?..
А если таким образом обходить блокировки на провайдерских серверах DNS - у меня так заблокированы некоторые сайты, даже неанонимный HTTP(S) прокси позволяет эту блокировку обойти, не говоря уже про TOR.

Всего записей: 731 | Зарегистр. 26-01-2010 | Отправлено: 15:22 08-05-2020
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4r0

Цитата:
Какой смысл скрывать DNS-запросы, когда провайдеры сохраняют список всех посещённых IP-адресов?..

Так он один только этой айпи - айпи до VPN.

Всего записей: 29101 | Зарегистр. 15-09-2001 | Отправлено: 15:30 08-05-2020
Death_INN

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Win7. Работал инет, качался файл. Пришел через час, ничего не качается, никуда не заходит. В журнале только такое:
Тип запуска службы "DNS-клиент" был изменен с "отключена" на "Автоматически".
Служба "DNS-клиент" перешла в состояние Работает.
 
Куда копать? В смысле, наверняка обсуждалось самопроизвольное включение Dnscache

Всего записей: 3025 | Зарегистр. 24-10-2002 | Отправлено: 01:56 10-05-2020 | Исправлено: Death_INN, 01:59 10-05-2020
qwerty2223

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте! Я конечно извиняюсь, возможно мелочь, но после всех манипуляций согласно шапке, см.скриношот, Ножницы Windows стали запускаться очень долго, в чем может быть дело, им тоже инет нужен похоже? Win7x64
 
И еще как cmd.exe выпустить в инет для пингов и трасеров, сделал разрешеющее правило для cmd.exe ping и tracert не работает  
 

Всего записей: 6 | Зарегистр. 08-02-2018 | Отправлено: 04:33 10-05-2020 | Исправлено: qwerty2223, 07:09 10-05-2020
Caravelli



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
наверняка обсуждалось самопроизвольное включение Dnscache
Думаю, вы будете первым.

Всего записей: 2146 | Зарегистр. 01-12-2009 | Отправлено: 07:35 10-05-2020 | Исправлено: Caravelli, 07:40 10-05-2020
Proshaa

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
qwerty2223
вообще-то это самостоятельные экзешники. дальше сами догадаетесь?

Всего записей: 3079 | Зарегистр. 10-01-2011 | Отправлено: 07:57 10-05-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Death_INN
Цитата:
самопроизвольное включение Dnscache
За долгое время ни разу не было.
 
Добавлено:
qwerty2223
Цитата:
И еще как cmd.exe выпустить в инет для пингов и трасеров, сделал разрешеющее правило для cmd.exe ping и tracert не работает

В системах Windows 10, 8.1, 7 для пингования внешних адресов нужно разрешить исходящие ICMPv4 для System, а не для ping.exe. После этого с соответствующими правилами заработают, видимо, и tracert, и pathping.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 09:21 10-05-2020
qwerty2223

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
исходящие ICMPv4 для System

 
Сделал исходящее правило:  ICMPv4 все программы, любой тип ICMPv4 + правило для ping.exe и tracert.exe любой порт любой адрес, заработало.
 
Не знаю как для кого, но я отключил: Основы сетей - протокол DHCP (входящий трафик DHCP), Основы сетей - протокол DHCP (DHCP - исходящий трафик) и Основы сетей - DNS (UDP - исходящий трафик), инет работает, как я понял DHCP нужен если комп к роутеру подключен.

Всего записей: 6 | Зарегистр. 08-02-2018 | Отправлено: 10:07 10-05-2020 | Исправлено: qwerty2223, 10:26 10-05-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 10:27 10-05-2020
4r0

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
наверняка обсуждалось самопроизвольное включение Dnscache

Ни разу не было. Качалка - IDM.
Всегда можно запретить пользователю "Все" право на "Задание значения" и при этом "Заменить все записи разрешений дочернего объекта наследуемыми от этого объекта" для раздела HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
Вроде пока что винда следует таким запретам.

Всего записей: 731 | Зарегистр. 26-01-2010 | Отправлено: 11:32 10-05-2020
qwerty2223

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
System  

 
 
А где это как указать?

Всего записей: 6 | Зарегистр. 08-02-2018 | Отправлено: 11:33 10-05-2020
4r0

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
qwerty2223
На картинке же нарисовано: Program - System. Так и указать.
 

Код:
netsh advfirewall firewall add rule name="System - ping" dir=out action=allow program="System" protocol=icmpv4
netsh advfirewall firewall add rule name="Ping (ICMPv4)" dir=out action=allow program="%systemroot%\System32\PING.EXE" protocol=icmpv4
netsh advfirewall firewall add rule name="Ping - DNS (UDP)" dir=out action=allow program="%systemroot%\System32\PING.EXE" remoteip=8.8.8.8,8.8.4.4 remoteport=53 protocol=udp
 

Вместо 8.8.8.8 и 8.8.4.4, как всегда - через запятую реально используемые DNS серверы.

Всего записей: 731 | Зарегистр. 26-01-2010 | Отправлено: 11:09 11-05-2020
Death_INN

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
Цитата:
По поводу DHCP нужно пробовать, с правилом и без. У меня работает и так, и так, без DHCP интернет появляется секунд через 20 после включения сетевой карты, а с DHSP появляется мгновенно. В остальном (пинг, скорость прогрузки страниц) разницы нет.

Попробовал без правил DHCP - никакой разницы при подключении и блуждании. Попробовал отключить службу DHCP - и опять все шоколадно.

Всего записей: 3025 | Зарегистр. 24-10-2002 | Отправлено: 21:36 14-05-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Death_INN
Значит, отключаешь её.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 08:50 15-05-2020
E_123



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всех приветствую! Подскажите пожалуйста для обычной работы на домашнем ПК (выход в инет через роутер) можно в фаерволе (на примере ESET в данном случае, но не суть) - вырубить нафиг всем Службам винды выход в сеть: https://dropmefiles.com/rfRSQ Или же что-то всё таки нужно оставить? (инет нужен как обычно только в браузерах, иногда VPN, никакие общие файлы/принтеры, удал.управление не нужны)

Всего записей: 937 | Зарегистр. 05-03-2020 | Отправлено: 16:00 15-05-2020 | Исправлено: E_123, 16:19 15-05-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
E_123
На первый случай для работы интернета выход в сеть должны иметь службы DNS, DHCP. Ну и служба Windows Time для синхронизации времени. Остальным можно запретить.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 18:55 15-05-2020
E_123



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member, спасибо за ответ, на буржуйских форумах так и пишут. Некоторые ещё и Windows Time отрубают, я например на Win7 с самой покупки компа её вырубил и всё ок вроде.
  В упор не вижу здесь у себя Служб DNS, DHCP: https://dropmefiles.com/rfRSQ - значит там всё по идее могу вырубить от греха подальше, да?

Всего записей: 937 | Зарегистр. 05-03-2020 | Отправлено: 20:47 15-05-2020
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
E_123
На твоих картинках не все службы, т.к. их у svchost.exe штук 80. Просмотри разрешающие правила, у тебя там, похоже, svchost полностью разрешен, через него работают DNS и DHCP.  
Явно все входящие, SMB, UPnP, RPC нужно запретить. Остальное тоже. Можешь заблокировать десяток, поработать, потом следующий десяток и т.п.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 21:06 15-05-2020
E_123



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member, спасибо за инфу, так и попробую. Да я понимаю, что в винде большая часть слива идёт через svchost, вот только я в упор не вижу для неё разрешений в настройках ESET, вроде везде лазил. ESET NOD32 Internet Security последней версии 13.1.21.0. - понял, переношу вопрос в тему по ESETу: http://gallery.ru-board.com/topic.cgi?forum=5&topic=49000&start=1500#14




ESET NOD32 обсуждают в программах, здесь местный брандмауэр и только

Всего записей: 937 | Зарегистр. 05-03-2020 | Отправлено: 12:29 17-05-2020 | Исправлено: E_123, 13:03 17-05-2020
harrykkk



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
del

Всего записей: 9020 | Зарегистр. 24-02-2013 | Отправлено: 12:55 17-05-2020 | Исправлено: harrykkk, 12:55 17-05-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru