Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4r0

Цитата:
Большинство попыток добавления правил приложениями это пресечёт

Вы невнимательно прочитали.
Ключевое слово - большинство. Ведь вы не смогли бы привести пример, когда блокировка не работает. До сих пор упомянались лишь обновления, да нажатие кнопи "сброс правил". Я нашел лишь очень частный третий случай (я не упомянул что тот пак - часть инсайдер версии винды, в обычной винде вроде такого безобразия не наблюдал). Просто инфа к размышлению о возмжностях майкрософт. Захотят - по таймбомбе вам добавят правило и потом удалят. И в журнале не отметят. А вы весь такой защищенный и важный сидите)

Всего записей: 400 | Зарегистр. 25-02-2012 | Отправлено: 16:48 18-04-2021
4r0

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danetz
Подробнее...

Всего записей: 731 | Зарегистр. 26-01-2010 | Отправлено: 17:41 18-04-2021
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В шапке темы же нимисоно про интересную прогу.   Не каждому дано.

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 18:16 18-04-2021
Sraboti

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо Всем! Всё получилось.
 
KiloSub, не сразу понял глагол, который вы употребили в вашем выражении. А в шапке немного некорректная (устаревшая?) инфа.

Цитата:
Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет.

Вкладки "Firewall" нету, есть "Network" (Process Hacker v2.39.124)

Всего записей: 142 | Зарегистр. 24-04-2007 | Отправлено: 13:13 19-04-2021 | Исправлено: Sraboti, 13:14 19-04-2021
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sraboti
Подробнее

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 13:23 19-04-2021
Sraboti

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Упс, не доглядел, спасибо.




Правила п. 2.8.2. главы VIII Соглашения по использованию. Либо благодарим в ЛС (личное сообщение), либо благодарим здесь, но дополняем свой пост полезной для других информацией по теме.

Всего записей: 142 | Зарегистр. 24-04-2007 | Отправлено: 14:03 19-04-2021 | Исправлено: KLASS, 14:16 19-04-2021
v_run

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Блин, а почему так ругаются антивирусы на Process Hacker?
https://pastenow.ru/605e7a840c945b19d4fc79071fcec28c




Флейм. Спрашивайте на сайте антивирусника.

Всего записей: 4 | Зарегистр. 10-01-2020 | Отправлено: 07:59 23-04-2021 | Исправлено: KLASS, 08:14 23-04-2021
blizard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Брандмауэр настроен входящие запрещены, исходящие запрещены кроме Chrome TCP 80, 443, UDP 53 и DHCP UDP 68-67, Dnscache отключен. Windows 20h2 upd Feb MSDN
Но все равно в Параметры-Сеть-Использование данных за 1-2 месяца появляется небольшой трафик от системных приложений Система, Windows Search, Office, Учетные записи и т.д.
Использование данных действительно показывает ушедший трафик или нет?

Всего записей: 81 | Зарегистр. 19-02-2018 | Отправлено: 16:43 23-04-2021 | Исправлено: blizard, 16:52 23-04-2021
danetz

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А я заметил тоже интересную вещь. После отката акронисом иногда (1 случай из 5, примерно) при коннекте значок в трее меняет состояние на "подключено к интернету". Образ, сами понимаете, побайтово тот же. Интервал между восстановлениями - минут 10. Как интерпретировать - не знаю. Могу лишь резюмировать - безконтольность не победима. Есть лишь иллюзия победы)

Всего записей: 400 | Зарегистр. 25-02-2012 | Отправлено: 00:41 25-04-2021
syrenium

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
К вопросу о программах сетевого мониторинга.
В NirSoft имеется LiveTcpUdpWatch и TcpLogView.
В отличие от NetworkTrafficView нет необходимости в установке Npcap.
Из минусов: LiveTcpUdpWatch не отслеживает ARP и ICMP, а TcpLogView еще и UDP.
Понятно, что многие приложения используют UDP.
Вопрос: если вместо NetworkTrafficView использовать LiveTcpUdpWatch, какие проблемы это может создать применительно к рассматриваемой теме?

Всего записей: 671 | Зарегистр. 07-12-2015 | Отправлено: 11:58 09-05-2021
utiman

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем добра!
Вопрос знатокам (возможно уже обсуждали эту тему, не могу найти, сорри):
В правилах для входящих (!) подключений куча разрешающих правил для разных программ (установленных), в т.ч. для браузеров и TotalCommander, на все сети/адреса/протоколы/порты. Зачем они?
Они же в списке разрешенных программ ("Разрешить запуск программ ...через брандмауэр Windows").
А вот в правилах для исходящих их нет.
 
Не сервер ни разу (Win7 без игр и без торрент-клиентов). Похоже они создавались после установки этих программ и после разрешения во всплывающем окне брандмауэра Windows. Экспериментировать долго, может кто знает ответ.

Всего записей: 18 | Зарегистр. 27-01-2009 | Отправлено: 19:53 07-07-2021
harrykkk



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
utiman
Ни браузерам, ни TC входящие подключения не нужны. Удаляйте

Всего записей: 9020 | Зарегистр. 24-02-2013 | Отправлено: 20:03 07-07-2021
utiman

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
harrykkk
Наверно они не нужны, но зачем-то они создаются. В чём смысл?
 
А если не давать разрешение во всплывающем окне брандмауэра, то во входящих создаётся блокирующее правило для этой программы. Таких правил тоже не мало.

Всего записей: 18 | Зарегистр. 27-01-2009 | Отправлено: 20:09 07-07-2021
Greyleon



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
TC входящие подключения не нужны

Как сказать, например, я пользуюсь плагином WebDAV  3.0 для TC. Если удалить - нужно полагать, что накроется прием файлов с хранилища.
Также есть SFTP-плагины и облачные плагины

Всего записей: 6445 | Зарегистр. 03-12-2016 | Отправлено: 20:11 07-07-2021 | Исправлено: Greyleon, 20:15 07-07-2021
utiman

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Greyleon
 

Цитата:
накроется прием файлов с хранилища
- не думаю. Файлы с хранилищ не сами себя отправляют, их плагин запрашивает. Входящие правила актуальны только для серверов.
 
Все эти плагины для поддержки протоколов на клиенте. Клиент - не сервер

Всего записей: 18 | Зарегистр. 27-01-2009 | Отправлено: 20:18 07-07-2021 | Исправлено: utiman, 20:22 07-07-2021
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
utiman
По умолчанию в Windows программы, запущенные от админа, могут создавать свои правила. Чтобы это пресечь, есть три финта, блокировать доступ к определенному кусту реестра (в теме это есть), использовать надстройку Windows Firewall Control с включенной опцией "Secure Rules" ("Защищать правила"), использовать сторонний фаервол.
В твоем случае входящие правила не нужны, их ВСЕ можно удалить, но после этого убедиться, что они не созданы заново.  
Greyleon
Цитата:
 я пользуюсь плагином WebDAV  3.0 для TC
Не знаю, как в случае с брандмауэром Windows, но в случае с Windows Firewall Control он выбросит алерт о попытке входящего соединения и эта попытка будет зафиксирована в журнале. На основе этого можно создать правило, которое нужно.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 15:09 10-07-2021
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
netsh advfirewall firewall delete rule name=all
 
Все правила убить легко.

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 15:44 10-07-2021
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Также есть SFTP-плагины и облачные плагины
Для ftp нужно входящее соединение, наверное, и для облачных, но я их не юзал. Важно создавать правило не общее разрешающее, а максимально строгое разрешающее.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 15:45 10-07-2021
KiloSub



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Потом, например  
 
 
netsh advfirewall firewall add rule name="qBittorrent" dir=out action=allow profile=any protocol=any program="c:\Portable\qBittorrent\qbittorrent.exe"

Всего записей: 420 | Зарегистр. 30-05-2020 | Отправлено: 15:47 10-07-2021
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Все правила убить легко.
Если
Цитата:
блокировать доступ к определенному кусту реестра (в теме это есть)
, то не убить, не создать, не изменить.

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 15:47 10-07-2021
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru