Меню Рубрики

Приоритет правил брандмауэра windows

Приоритет правил брандмауэра windows

Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Как видно из описания темы, речь пойдёт о настройке брандмауэра Windows для предотвращения несанкционированных соединений, в том числе телеметрии, вся «борьба» с которой сводится к отключению/перенастройке почти всех правил Microsoft.
    Сначала возвращаем ПРАВИЛА БРАНДМАУЭРА ПО УМОЛЧАНИЮ , если система только что установлена, то можно пропустить.

Выбираем Пуск => Средства администрирования => Брандмауэр Windows в режиме повышенной безопасности.
ПКМ на «Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)» => Свойства => Блокируем исходящие подключения:

Отключаем или удаляем все входящие правила M$, кроме Основы сетей — протокол DHCP (вх. трафик DHCP)
Отключаем или удаляем все исходящие правила M$, кроме Основы сетей — протокол DHCP (DHCP — исходящий трафик)
и Основы сетей — DNS (UDP — исходящий трафик).

НЕ ОБЯЗАТЕЛЬНО (на слив телеметрии не влияет, сначала осознайте, для чего вам это нужно):
Оставив правило DNS, помним и не забываем , что некоторые программы могут воспользоваться им для своих нужд.
Если таки решили это правило отключить и осознали, зачем вам это надо, обязательно отключите службу DNS-клиент.

Всё, Интернета нет, как и нет любых других соединений (кроме DHCP и DNS), включая телеметрию. Чтобы убедиться в этом, используйте Wireshark.
После такой настройки обновления автоматически устанавливаться не будут. Для систем ниже Windows 10 сначала обновите систему, а потом настраивайте правила брандмауэра. Последующие обновления устанавливайте ручками.
Актуальный список обновлений для Windows 10 см. здесь , рекомендации по обновлению Windows 7 SP1 см. здесь .
История кумулятивных обновлений для разных версий Windows 10 доступна здесь.

Осталось «научить» брандмауэр Windows выпускать и впускать только то, что мы разрешили. Иначе говоря, будем создавать «белый» список приложений.
Так как у каждого свои приложения и задачи, предлагаю здесь в теме обсудить правила, которые необходимы для комфортной работы пользователя.

Для того чтобы быстро разобраться, какой программе что нужно открыть в брандмауэре, можно использовать приложение Process Hacker с надстройками, в частности, FirewallMonitorPlugin.
Сборка Process Hacker x86 x64 от Victor_VG или ее русский вариант от KLASS для Windows 10 версии не ниже 1903, где FirewallMonitorPlugin работает.
Process Hacker для Windows 10 1809 (LTSC) и 1607 (LTSB)ENG | RUS, где FirewallMonitorPlugin работает.
Вопросы по работе Process Hacker (изучите там шапку).
Открываем Process Hacker от имени администратора (по ПКМ), вкладка «Firewall» и запускаем приложение, которому необходим выход в Интернет. Здесь (красные строки, т.е. заблокированные соединения) мы сразу видим, к каким портам, удалённым адресам и по какому протоколу обращается запущенное приложение. Исходя из этих данных, можно гибко настроить правило для любого приложения.
Для Windows 7 можно воспользоваться набором NetworkTrafficView_russian.
Также, в любой системе, для отслеживания можно использовать Process Monitor от Марка Руссиновича (в той же теме все вопросы по настройке программы).

Контекстное меню в проводнике для файлов .EXE, с помощью которого можно добавлять правила в брандмауэр (Shift+ПКМ).

Не лишним будет добавить в свои правила полное отключение Интернета или вообще отключать сетевые интерфейсы так или так .

Импортируйте свои правила при каждом входе в систему через Планировщик, так как правила от M$ могут быть восстановлены при очередном обновлении.

Чтобы передать команду добавления правила брандмауэра другому пользователю, можно использовать PowerShell ( начиная с Windows 8.1 )

Также, для удобства создания правил, есть другой инструмент Windows Firewall Control .
Это надстройка, которая работает в области уведомлений на панели задач и позволяет пользователю легко управлять родным брандмауэром Windоws, без необходимости переходить в определённые окна настроек брандмауэра.

Как запретить или разрешить изменять правила брандмауэра . Утилита SubInACL от Microsoft. Нюансы: 1 , 2 . На сегодня утилита не поддерживается и была убрана с сайта разработчика.

  • Шапку и около-темные вопросы обсуждаем здесь
    • Всего записей: 8958 | Зарегистр. 12-10-2001 | Отправлено:20:59 05-03-2017 | Исправлено: KLASS, 11:33 08-09-2020
    LevT

    Platinum Member

    		 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору WildGoblin

    (Get-Childitem ‘родительская папка’ -Recurse -Filter ‘Chrome.exe’).FullPath

    Если хром всегда один остается, то вот он результат.
    Можно прямо сувать в ApplicationFilter

    Источник

    Назначение брандмауэра Windows и его настройка

    Так необходимая нам Всемирная глобальная сеть далеко не безопасное место. Через интернет мошенники активно распространяют откровенно вредоносные либо зараженные, с виду безобидные программы. Каждый из нас может нарваться на такой неприятный сюрприз, следствием которого является утечка личной информации и снятие средств с банковских счетов, злоумышленное шифрование данных, повреждение системных файлов и нарушение работы компьютера. Барьером для всех вышеперечисленных угроз выступает брандмауэр Windows, о котором мы подробно расскажем в нашей статье.

    Функции брандмауэра Windows

    В отличие от обычных браузерных или самостоятельных фаерволов, препятствующих проникновению вирусов извне в систему, брандмауэр работает в обе стороны. Он запрещает установленным на ПК программам обращаться к Сети без полученного на то разрешения от администратора или при отсутствии сертификатов безопасности. Проще говоря, если программа подозрительна и требует неоправданно больших полномочий ‒ она будет блокирована.

    Данный защитный инструмент включен во все современные версии Windows, начиная с XP Service Pack 2. Помимо программ, брандмауэр проверяет запущенные службы и останавливает их при обнаружении опасной активности. Отдельным плюсом является то, что опытный пользователь может самостоятельно устанавливать правила проверки для определенного перечня IP-адресов, портов, сетевых профилей.

    Несмотря на все преимущества, брандмауэр не заменяет антивирусное ПО, а лишь «купирует» деятельность вредоносного софта, поэтому не стоит целиком полагаться на него.

    Включаем брандмауэр в Windows 7, 8, 10

    После установки или восстановления Виндоус ее брандмауэр запущен по умолчанию. Поводом для его ручного отключения должна быть веская причина, например, выскакивающая ошибка 0х80070422, сообщающая о сбое защиты и конфликте служб.

    Самостоятельно отключить (или запустить) брандмауэр в Windows 7, 8 и 10 можно двумя способами: через командную строку или панель управления.

    Сначала рассмотрим первый вариант, как наиболее простой.

    1. Открываем меню «Пуск» и пишем в поисковой строке «cmd». Кликаем по нему правой кнопкой мыши и запускаем от имени администратора.

    Владельцы десятки для открытия консоли могут сразу кликнуть ПКМ по значку «Пуска».

    1. Для выключения брандмауэра Windows в консоли вводим следующую команду: «netsh advfirewall set allprofiles state off» (без кавычек).

    После нескольких секунд система уведомит об успешном отключении: «ОК».

    1. Включить его обратно можно той же командой, но с приставкой on: «netsh advfirewall set allprofiles state o.

    Теперь разберем вариант №2.

    1. Переходим по адресу «Пуск/Панель управления/Система и безопасность/БрандмауэрWindows». В появившемся окне мы видим текущее состояние сетевого экрана. Для изменения его статуса кликаем по «Изменение параметров уведомлений».
    2. Для отключения защиты брандмауэра отмечаем соответствующие пункты и жмем по «ОК».

    Включение производится в обратном порядке. После всех действий желательно перезагрузить компьютер.

    Разрешаем запуск программ через брандмауэр

    Работа межсетевого экрана не всегда корректна, и он может заблокировать вполне безобидную программу, требующую доступ к Сети. Такое часто случается при установке и первом запуске клиента онлайн-игры или загрузчика. В настройках можно самостоятельно добавить программу в исключения брандмауэра, но только если вы уверены в ее источнике.

    Делается это следующим образом:

    1. Переходим в меню исключения брандмауэра по пути, описанному выше, и кликаем по отмеченной ссылке.

    1. В открывшемся окне разрешаем (или запрещаем) программе работать в той или иной сети, отмечая галочками нужный пункт. Подтверждаем свои действия кнопкой «ОК».
    2. Если вы не нашли нужный продукт в этом списке, то кликайте по кнопке внизу «Разрешить другую программу». Для добавления в исключения вам будут доступны все установленные программы и утилиты.

    Но если и тут не оказалось искомого exe-файла ‒ укажите путь к нему через «Обзор».

    1. Используя меню «Типы сетевых размещений», вы сразу можете указать, для какой сети применяется исключение.

    После подтверждения этих изменений перезагружать компьютер необязательно.

    Настройка брандмауэра в режиме повышенной безопасности

    Теперь стоит упомянуть альтернативный способ настройки брандмауэра, позволяющий, кроме всего прочего, открывать порты и устанавливать политику безопасности. В нем есть инструмент для создания новых правил ‒ алгоритмов действия межсетевого экрана при работе с некоторыми приложениями.

    Чтобы попасть в расширенные настройки:

    1. Нажимаем левой кнопкой мыши по «Дополнительные параметры» в меню брандмауэра.
    2. Здесь вы можете увидеть статус каждого профиля подключения и ознакомиться с принципами их подробной настройки.
    3. Больше всего нас интересуют пункты правил для входящих и исходящих подключений.
    4. В меню «Свойства» каждый параметр настраивается до мелочей, но новичку обычно достаточно вкладки «Общие».
    5. Мастер создания правила для новых подключений вызывается пунктом «Создать правило» в правом верхнем углу окна режима повышенной безопасности.

    Решаем проблемы с брандмауэром

    Как описывалось выше, эта защита неидеальна тем, что может приводить к сбоям и конфликтам служб Windows. Также ее работа потребляет ресурсы компьютера, ощутимо «просаживая» производительность слабых машин. Из-за этого многие пользователи полностью отключают брандмауэр, оставаясь при этом уязвимыми. В результате люди, отключившие сетевой экран на своем ПК, могут увидеть сообщение такого рода: «ошибка 0х80070422 не удалось изменить некоторые параметры».

    Проблема устраняется путем включения брандмауэра стандартным способом или через службы центра обновления и брандмауэра Windows.

    1. Заходим в «Пуск/Панель управления/Система и безопасность/Администрирование» и в списке консолей выбираем «Службы».
    2. Среди служб ищем «Центр обновленияWindows», кликаем по нему ПКМ и выбираем «Свойства».
    3. Устанавливаем тип запуска ‒ «Автоматически», выбираем состояние «Запустить» и жмем «ОК».
    4. Не выходя из консоли, сразу ищем службу «БрандмауэрWindows» и устанавливаем ей такой же тип запуска.

    После всех манипуляций перезагружаем компьютер и анализируем результат.

    Если брандмауэр не запускается ни обычным способом, ни через консоль служб, то проблема может крыться в заражении компьютера вирусами. Воспользуйтесь антивирусной программой (например, Dr.Web CureIt!) и сделайте полную проверку компьютера. Также мы рекомендуем воспользоваться службой поддержки Microsoft по ссылке, где эта проблема уже описывалась.

    Вдобавок к вышесказанному

    Из нашей статьи вы узнали, что такое брандмауэр Виндоус, почему он так важен для безопасности системы, где он находится и как настраивается. По традиции мы дадим вам полезный совет: не отключайте сетевой экран Windows без острой необходимости, так как он является первой и последней «линией обороны» на пути червей, троянов и прочей шпионской заразы, попадающей к нам из интернета. Даже при заражении компьютера вредоносная программа в большинстве случаев будет блокирована и не сможет осуществлять передачу данных.

    Источник

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Приоритет звука windows 10
  • Приоритет адаптера tunngle windows 10
  • Приоритет автозагрузки windows 7
  • Принцип работы домена windows
  • Принцип работы активатора windows 7