Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  • Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся "борьба" с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ, если система только что установлена, то можно пропустить.
     
  • Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
    ПКМ на "Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)" => Свойства => Блокируем исходящие подключения:
       
    Отключаем или удаляем все входящие правила M$, кроме Основы сетей - протокол DHCP (вх. трафик DHCP)
    Отключаем или удаляем все исходящие правила M$, кроме Основы сетей - протокол DHCP (DHCP - исходящий трафик)
    и Основы сетей - DNS (UDP - исходящий трафик).


    НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
    Оставив правило DNS, помним и не забываем, что некоторые программы могут воспользоваться им для своих нужд.
    Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.


    Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
    После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
    Актуальный список обновлений для Windows 10 см. здесь, рекомендации по обновлению Windows 7 SP1 см. здесь.
    История кумулятивных обновлений для разных версий Windows 10 доступна здесь.
     
  • Осталось "научить" брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать "белый" список приложений.
    Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.
     
  • Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker.
    Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10.
    Вопросы по работе Process Hacker (изучите там шапку).
    Открываем Process Hacker от имени администратора (по ПКМ), вкладка "Firewall" и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
    Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
    Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).
     
  • Как добавлять или изменять правила, используя командную строку (команда netsh).
     
  • Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).
     
  • Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так.
     
  • Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.
     
  • Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell (начиная с Windows 8.1)
     
  • Также, для удобства создания правил, есть другой инструмент Windows Firewall Control.
    Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.
     
  • Включить аудит Платформы фильтрации IP-пакетов
     
  • Администрирование брандмауэра в режиме повышенной безопасности с помощью PowerShell или Netsh
     
  • Проверка брандмауэра на наличие уязвимостей
     
  • Как запретить или разрешить изменять правила брандмауэра. Утилита SubInACL от Microsoft. Нюансы: 1, 2. На сегодня утилита не поддерживается и была убрана с сайта разработчика.
    Ищите в других местах:
    subinacl.exe
    Size: 290 304 Bytes
    CRC32: 90B58A75
    MD5: 53cdbb093b0aee9fd6cf1cbd25a95077
    SHA1: 3b90ecc7b40c9c74fd645e9e24ab1d6d8aee6c2d
    SHA256: 01a2e49f9eed2367545966a0dc0f1d466ff32bd0f2844864ce356b518c49085c
    SHA512: 7335474d6a4b131576f62726c14148acf666e9a2ce54128b23fe04e78d366aa5bdf428fe68f28a42c2b08598d46cada447a4e67d530529b3e10f4282513a425f
     
  • Ещё раз про "секретные, неотключаемые разрешающие правила" RestrictedServices
     
  • Смежные темы:
    Настройка персональных файерволов (firewall rules)
    Бесконтрольность Windows 10
    Быстрая настройка Windows
     
  • Шапку и около-темные вопросы обсуждаем здесь

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 20:59 05-03-2017 | Исправлено: WildGoblin, 13:05 15-06-2022
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gosuto

Цитата:
ну... ясно, короче, херня тогда. овчинка выделки не стоит.
проще тогда с парсером Ратиборуса: экспортировал правила, в новой - импортировал нужные с cmd.
А если он допилит свою утилиту, чтоб она сама экспорт-импорт правил делала, вообще здорово будет. И не нужны священные пляски вокруг powershell ise

 
кому ананас, а кому свиной хрящик )
кому самому владеть ситуацией, а кому попрошайничать у других ))
 
если понадобится что-то изменить - то либо самому править/дописывать на пошике, либо просить Ratiborus или того, кто пошика не боится, например меня.
 
Трудозатраты на правку и добавление фич на пошике несравненно ниже, чем на всём остальном.
 

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 13:06 08-03-2017 | Исправлено: LevT, 13:12 08-03-2017
Gosuto



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ошибка, я люблю манго и бастурму.
А Ратиборус - сделает, надеюсь. Так вот, напр., с Unicrypt было.

Всего записей: 5619 | Зарегистр. 09-11-2015 | Отправлено: 13:12 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gosuto

Цитата:
А Ратиборус - сделает, надеюсь.  
 

 
Если только ему не лень отвлекаться от своих полезных занятий на заведомую херню.

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 13:15 08-03-2017 | Исправлено: LevT, 13:17 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gosuto
После установки выни, запускаю батник настройки системы, так вот в батнике есть команда, которая импортирует мои, настроенные правила в брандмауэр, куда уже проще.
Тырц
LevT
Тырц

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 13:17 08-03-2017 | Исправлено: KLASS, 13:26 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
Ты не поверишь: я именно этим занимаюсь уже типа год )
 
Только у меня требования более дальновидные чем у тебя: пришлось вот попутно многое изучить включая DSC...  

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 13:20 08-03-2017
Gosuto



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS, оОо, супер, благодарю. Кристально просто и понятно.

Всего записей: 5619 | Зарегистр. 09-11-2015 | Отправлено: 13:20 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

А меня именно вот этот гавёный синтаксис  %~dps0  всегда вводит в ступор с батниками.
Где он документирован?

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 13:22 08-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Закомментированное описалово каждой строки напиши в сценарии пошика, что в шапке, скажу где узнать

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 13:50 08-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
мне батники нафиг не сдались )
а строчки пошика это почти английский, желающие понять поймут: точнее чем уже написано не скажешь
 
 
Добавлено:
а главное - я это не из головы брал и не из гугля.
Всё подсказывает сам пошик.
 
Добавлено:
Вру.. один раз полез в гугль, чтобы узнать, как вытащить имя исполняемой программы
Не я первый задался этим вопросом - и спрашивающему давно ответили:
 
Get-NetFirewallRule | Get-NetFirewallApplicationFilter
 
всё остальное я добил по аналогии, даже в хелп пошика не заглядывал.
 
 
Добавлено:
 
а в квадратных скобках это специальные заклинания, чтобы функция вела себя подобно встроенным командлетам
 
help about_Functions_Advanced -ShowWindow

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 14:06 08-03-2017 | Исправлено: LevT, 18:18 08-03-2017
Still777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите пожалуйста, я настроил брандмауэр Windows 7 64 Максималную в режиме повышенной безопасности, заблокировал все исходящие подключения и создал  свой белый список браузеров и других нужных приложений.
И вроде бы все сделал правильно, все работает нормально, но только изменился значок защиты брандмауэра на Домашних(частных)  и Общественных сетях на перечеркнутый кружок.
У вас тоже так(так должно быть?) или это какая-то ошибка?
См.рисунок
https://pp.userapi.com/c639220/v639220568/19d19/_Zu4cbXSFFQ.jpg

Всего записей: 124 | Зарегистр. 14-12-2014 | Отправлено: 19:12 17-03-2017 | Исправлено: Still777, 19:28 17-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Still777
На 10 у себя подобного нет, как будто брандмауэр у вас вовсе выключен.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 02:44 18-03-2017
Still777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS, спасибо за ответ, вот я и заинтересовался этим странным значком(перечеркнутый кружок)
Сегодня более внимательно рассмотрел вкладку "Брандмауэр Windows в режиме повышенной безопасности" и вроде бы там,  в описании этот значок означает , что все входящие и исходящие подключения запрещены. см.скриншот

 
У кого Windows 7 64 Максималная, отпишитесь пожалуйста, интересно у вас тоже такой значок запрещения подключения?
 
Еще нужен совет, перестал работать uTorrent, много раз добавлял в белый список, разными способами разрешал в брандмауэре-все равно не качает, стоит только отключить сам брандмауэр - сразу же работает.

Всего записей: 124 | Зарегистр. 14-12-2014 | Отправлено: 18:25 18-03-2017 | Исправлено: Still777, 18:26 18-03-2017
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
перестал работать uTorrent, много раз добавлял в белый список, разными способами разрешал в брандмауэре-все равно не качает, стоит только отключить сам брандмауэр - сразу же работает.

 
Включить TCPVIew, отключить брандмауэр и составлять правила на основе увиденного, там не только разрешать входящие на выбранный порт нужно. Ещё нужно разрешать исходящие TCP с портов 1024-65535 на удалённые 1024-65535, удалённый IP - любой.
 


----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2471 | Зарегистр. 08-04-2016 | Отправлено: 18:45 18-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Still777
На 10 также в окне Брандмауэр Windows в режиме повышенной безопасности, но в окне Панель управления\Брандмауэр все в норме

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 20:39 18-03-2017 | Исправлено: KLASS, 20:43 18-03-2017
Still777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KismetT_v3, спасибо за совет, видимо придется повозиться с этим торрент-клиетом, брандмауэр  в режиме повышенной безопасности имеет свои плюсы и минусы - надо все самому настраивать.
 
KLASS, может это особенности моей виндовс 7? везде стоит вкл, это даже на моем скриншоте видно и по умолчанию заблокированы все подключения, кроме тех правил, которые я сам добавил в Исходящих подключениях, просто меня насторожил сам значок, скорее всего в Windows 7 это знак запрета, а не выключения брандмауэра.
 
 
 
Добавлено:
KLASS, или может дело в Настройках параметров Брандмауэра, у вас тоже как у меня выставлены галочки настроек?

Проверил, если я убираю там в настройках галочку с "Блокирование всех входящих подключений, включая подключения, указанные в списке разрешенных программ" то значок становится как у вас, странно или так и должно быть?

Всего записей: 124 | Зарегистр. 14-12-2014 | Отправлено: 22:00 18-03-2017 | Исправлено: Still777, 22:32 18-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Still777

Цитата:
Проверил, если я убираю там в настройках галочку с "Блокирование всех входящих подключений, включая подключения, указанные в списке разрешенных программ"

А здесь не надо галки ставить, у вас же программы типа торрент-клиент, скайп работать не будут.
 
Добавлено:
У меня по умолчанию
 

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 23:03 18-03-2017
Still777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS, значит если вы ставите  там галочки, у вас тоже появляется значок перечекнутого круга как и у меня?
 

Цитата:
А здесь не надо галки ставить, у вас же программы типа торрент-клиент, скайп работать не будут.

 
Странно, я думал , что так включается функция максимальной защиты.
 
Побробовал снять галочки как у вас - все равно торрент не работает, стоит только полностью отключить брандиауэр-сразу начинает качать. Будем искать причину.

Всего записей: 124 | Зарегистр. 14-12-2014 | Отправлено: 23:30 18-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
значит если вы ставите  там галочки, у вас тоже появляется значок перечекнутого круга как и у меня?  

Да.

Цитата:
Странно, я думал , что так включается функция максимальной защиты.

Делайте как в шапке, а поставив еще и эти галки (по умолчанию они сняты), вы закрываете входящие
для разрешенных программ, если верить переведенной фразе на тех галках:
"Блокировать все входящие подключения, в том числе для приложений, указанных в списке разрешенных программ".
И потом, мало просто расставить галки и настроить брандмауэр (не исключены ошибки при настройке).
Чтобы быть уверенным, что у вас ничего не течет после всех телодвижений,
каждый должен проверить сам ту течь. Я использовал Wireshark
Небольшой фильм про настройки: Отлавливание IP в Wireshark
А с торрент-клиентом, для начала, создайте два правила для него (входящее и исходящее), в которых ему (клиенту)
все дозволено и пробуйте качать.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 08:19 19-03-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Still777
Правила для торрент-клиента (где красное подставить свое):

Код:
 
netsh advfirewall firewall add rule name="uTorrent3 (TCP - входящий трафик)" dir=In action=Allow profile=Private,Public program="Путь\utorrent.exe" protocol=TCP localport=Порт_входящих_подключений_который_в_настройках_клиента remoteport=1024-65535
netsh advfirewall firewall add rule name="uTorrent3 (TCP - исходящий трафик)" dir=Out action=Allow profile=Private,Public program="Путь\utorrent.exe" protocol=TCP localport=1024-65535 remoteport=1024-65535
netsh advfirewall firewall add rule name="uTorrent3 (UDP - исходящий трафик)" dir=Out action=Allow profile=Private,Public program="Путь\utorrent.exe" protocol=UDP remoteport=53 remoteip=DNS-серверы_вашего_провайдера_через_запятую_без_пробелов
 

LevT
Посмотри свой скрипт пошика в шапке, пожалуйста. При выдаче параметров для команды netsh в консольное окно
попадает ненужный пробел в параметре profile=Private,_пробел_Public, а должна быть запятая без пробела.
Также в строку не подается параметр localport, если в правиле брандмауэра сам порт(ы) указан.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 18:08 19-03-2017 | Исправлено: KLASS, 18:10 19-03-2017
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS
я конечно посмотрю - но предлагаю тебе сначала попробовать самому.
Начни c LocalPort, который не вытаскивается из-за того, что его не было в исходных данных.
Сделай по аналогии с RemotePort.
 
 
Добавлено:
 
А профиль я беру 1в-1
Стало быть, по аналогии с соседними строчками надо подвергать специальной трансформации
 
$profile -replace ', ',','

Всего записей: 17126 | Зарегистр. 14-10-2001 | Отправлено: 18:38 19-03-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Тонкая настройка брандмауэра Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru