Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG

Цитата:
И открыв UDP 53 без проброски портов в NAT мы разрешим только подключения "LAN клиент - DNS роутера"

Правильно понял, если в Инет ходим через роутер, то через разрешенный удаленный порт 53
для svchost программы не смогут по UDP стукнуться домой без проброса портов, но если
провод провайдера воткнут в комп то смогут? Извини, если выражаюсь не разумно.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 12:04 01-09-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
 
Да, у роутеров в NAT (Network Adress Translator) обычно открыты только клиентские TCP протоколы POP3/IMAP/SMTP/FTP/HTTP а UDP и P2P надо настраивать специально. Плюс NAT в роутерах часто комбинируется с брандмауэром, так что закрыть на внешку UDP 53 в них обычно не сложно, а DNS/ NTP сервера в них обычно стоят с внешней стороны NAT.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 33134 | Зарегистр. 31-07-2002 | Отправлено: 12:40 01-09-2018
oinvhi



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
И открыв UDP 53 без проброски портов в NAT мы разрешим только подключения "LAN клиент - DNS роутера", а все задачи разрешения не кэшированных ns/arp/mx-запросов будет исполнять он.  

 
дык, на этой настройке и работаем. в клиенте брендмауером открываем удаленный udp 53 лишь до роутера. днс-провайдерский, он уже за натом роутера. если я правильно вас понял.  

Всего записей: 17 | Зарегистр. 06-09-2017 | Отправлено: 13:07 01-09-2018 | Исправлено: oinvhi, 13:07 01-09-2018
Userrr



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вы чё млин курите? как будет резолвить имена остальной софт, у вас на винде вся жизнь закончилась? больше ничего в сеть не лазает?
 
Добавлено:

Цитата:
Шапку читай

я шапки не читаю, из религиозных убеждений, udp это протокол 'на деревню дедушке' - нахрена его банить? получишь больше гиморов, чем приватности. проще шапочку из фольги одеть




Раз не читаешь, покури 3 дня

Всего записей: 10821 | Зарегистр. 21-03-2006 | Отправлено: 13:13 01-09-2018 | Исправлено: KLASS, 13:37 01-09-2018
oinvhi



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Userrr каждой программе открываешь персонально удп 53 до роутера (кому нужен резолв). винда-то сама даже в сеть не может, ей всё порезали ))

Всего записей: 17 | Зарегистр. 06-09-2017 | Отправлено: 13:38 01-09-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
oinvhi
 
И встроенный в коробочки DNS так же. Внутри локалки нужны только DHCP, FTP и принт-сервер, да прокси коли канал нестабильный. Всё остальное выносится за NAT чтобы под ногами не путалось.
 
Userrr
 
В настройках TCP клиентской машины в качестве IP для Primary DNS указываем IP роутера, достаточно. С 1993-го у меня так все сетки настроены и проблем с DNS на любых платформах никогда не было.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 33134 | Зарегистр. 31-07-2002 | Отправлено: 13:51 01-09-2018
xaoc2012

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG >>>
Цитата:
В настройках TCP клиентской машины в качестве IP для Primary DNS указываем IP роутера

а с DMZ что не так? выведи туда что не жалко

Всего записей: 8 | Зарегистр. 14-08-2018 | Отправлено: 14:01 01-09-2018 | Исправлено: xaoc2012, 14:02 01-09-2018
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
xaoc2012
 
Я им не пользуюсь за ненужностью для моих задач.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 33134 | Зарегистр. 31-07-2002 | Отправлено: 14:09 01-09-2018
xaoc2012

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
тогда надо описывать в решениях, какие задачи решает хреноватуча твиков. банит магазин, скайп, новости, погоду...... уродует иконку сетевого соединения, потому что система не может пингануть сервак

Всего записей: 8 | Зарегистр. 14-08-2018 | Отправлено: 14:18 01-09-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
xaoc2012

Цитата:
тогда надо описывать в решениях, какие задачи решает хреноватуча твиков.

Задача темы одна, выни нет хода на сторону без ведома пользователя.

Цитата:
уродует иконку сетевого соединения, потому что система не может пингануть сервак

А зачем ей пинговать сервер без ведома пользователя, мне не шашечки нужны...
К тому же в ГП предусмотрено отключение того пинга.

А всего в шапку не сунуть, если вы про это...

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 14:31 01-09-2018
xaoc2012

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А зачем ей пинговать сервер без ведома пользователя, мне не шашечки нужны...  

в чём тут криминал, просто проверка доступности сети, без отправки данных

Всего записей: 8 | Зарегистр. 14-08-2018 | Отправлено: 14:40 01-09-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
в чём тут криминал

Встречный вопрос:
Зачем отключение предусмотрено в ГП?
Нет никакого криминала, есть спортивный интерес не более, чтобы вынь без моего ведома даже не думала. )

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 14:45 01-09-2018 | Исправлено: KLASS, 14:46 01-09-2018
oinvhi



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
в чём тут криминал, просто проверка доступности сети, без отправки данных

криминал не здесь, а в том, что система без спроса льёт телеметрию и бог весть еще что вообще без твоего ведома и спросу. в системе крыса.  за то и получает по рогам система фаерволом. хош виндовым, хошь - роутером дави. без разницы. ну или смирись, если для тебя это приемлемо...  
 
хотя, аппаратные неотключаемые бекдоры у всех давно у нас в чипсетах материнских плат..

Всего записей: 17 | Зарегистр. 06-09-2017 | Отправлено: 14:51 01-09-2018
Valery_Sh



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
xaoc2012

Цитата:
уродует иконку сетевого соединения, потому что система не может пингануть сервак

Ну-у, если "уродская иконка" так раздражает, пусть "на пинг сервака", без которого вынь впадает в истерику, отвечает твой роутер.... Не? И волки сыты, и овцы целы.
 
Редиректить udp:53 уж научились и штатные прошивки нормальных роутеров.

Код:
dig +short @<любой_IP|url> dw.de
194.55.30.46
194.55.26.46
Пущай ломятся, если запросы действительно на стандартном udp:53
 
oinvhi
http://forum.ru-board.com/topic.cgi?forum=62&topic=30521&start=1120#14
Подробнее...

Всего записей: 2171 | Зарегистр. 30-06-2008 | Отправлено: 18:55 01-09-2018 | Исправлено: Valery_Sh, 18:57 01-09-2018
4seasons



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Брандмауэру Windows нельзя как-то объяснить, что в инет с данного компа никому ходить нельзя, а в локальную сеть можно?

Всего записей: 5510 | Зарегистр. 31-05-2009 | Отправлено: 18:41 02-09-2018 | Исправлено: 4seasons, 18:43 02-09-2018
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4seasons
 
основное GUI окно в Windows FireWall настроить Public vs Private не поможет (это просто видимость в сети)
 
а так - много вариантов, можешь Advanced правилами отрегулировать (в основном на Public профиль)
 
дальше смотря чем ходить, есть настройки самого интернета, отключи автомат и пропиши там не существующий Proxy - тогда подключение к любой странице умрёт.
 
в самом FireWall - Advanced правила : создай (два: для in/out) запрещающее правило для внешних адресов и разрешающее для внутренних (или запрет только на Public профиль, чтобы не касалось Domain/Private)
 
вероятно ещё есть возможность обрезать это на уровне GP.
 
так-же на странице "Local Principals" можно прописать группы/пользователей к которым это правило относится
 
ещё вкладка Scope для выбранного правила позволяет настроить на конкретные адреса (в том числе целые диапазоны) - ограничь разрешение только на местную сеть без DNS/NS/GW, отдельным правилом заблокируй всё остальное (или через Predefined set of computers - Local Subnet / Intranet ..)
 
у меня более точная настройка: несколько правил (in/out) - туда целыми диапазонами через PowerShell пишу (по факту классическая IP таблица на запрет) куда не пускать, скрипт каждые 20 минут пробегает (в основном на Spam/Рекламные хосты)
 
Добавлено:
но обычно если редактирование настроек для пользователя закрыто - то можно это на уровне DNS сервера всё рубить (т.е. все внешние адреса перенаправлять на что-нибудь внутреннее)

Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 21:20 02-09-2018
shadow_member



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4seasons
 Создать разрешающее правило, которое применяется ко всем программам (не указывать в нем программу): исходящие, ЛЮБОЙ протокол, все порты, указать диапазон IP-адресов локальной сети, например: 192.168.0.1-192.168.0.255.
 Все локальные соединения разрешены, а на выход какой-либо программы в интернет потребуется разрешение.
 Источник: FAQ Binisoft WFC (= брандмауэр Windows).

Всего записей: 22354 | Зарегистр. 18-07-2006 | Отправлено: 07:01 03-09-2018
oinvhi



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Valery_Shвам не очевидно ли, что там намного более всё серьезно?
 
4seasons локалка через что крутится? это к тому, целесообразнее такие вещи решать роутером, а не брендмауером windows.

Всего записей: 17 | Зарегистр. 06-09-2017 | Отправлено: 08:36 03-09-2018
vikkiv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shadow_member
А это ничего что по умолчанию все Outgoing Connections = Allowed (Default) ?

Всего записей: 747 | Зарегистр. 10-11-2005 | Отправлено: 09:51 03-09-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vikkiv
Запретить все исходящие и далее уже, как shadow_member отписал.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 09:57 03-09-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru