13 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Неожиданные детали работы Windows Firewall, настроенного по умолчанию

Неожиданные детали работы Windows Firewall, настроенного по умолчанию. И эксперименты по перенастройке

Иногда получается, что при выполнении очередного проекта, я случайно открываю какие-то обстоятельства, которые, вроде, никто не скрывает, можно даже найти документацию, поясняющую суть… Но многие, включая меня, находятся в плену заблуждений, поэтому не ищут ту документацию, полагаясь на совершенно неверную картину мира. У меня уже намечается целый цикл из статей, в которых я просто сообщаю, что всё, оказывается, не так, как многие (включая меня) думали. Была у меня статья про DMA, была статья про производительность шины PCI Express. К этому же циклу можно отнести статью про конфигурационные ПЗУ для ПЛИС Altera.

Сегодня мне хотелось бы рассказать пару слов про работу Windows Firewall, или, как его называют в русифицированной ОС – брандмауэра. В целом, это очень хорошая штука, но в частности… Оказывается, по умолчанию он работает в достаточно интересном режиме. Как говорится: «А пацаны и не знают». Итак, начинаем разбираться, что там к чему.

Управление сетевыми профилями брандмауэра Windows из PowerShell

В Windows Firewall есть три типа сетевых профилей:

  • Domain (Доменный) – применяется к компьютерам, включенным в домен Active Directory;
  • Private (Частный) – домашние или рабочие сети;
  • Public (Общий) – общедоступные сети.

Каждый профиль может отличаться используемым набором правил файервола. По умолчанию все сетевые интерфейсы компьютера защищены фаейрволом и к ним применяются все три типа профилей.

Чтобы включить все три сетевых профиля Domain, Public и Private, используйте команду:

Set-NetFirewallProfile -All -Enabled True

Либо укажите конкретный профиль вместо All:

Set-NetFirewallProfile -Profile Public -Enabled True

Чтобы отключить файервол для всех трех сетевых профилей, используется команда:

Set-NetFirewallProfile -All -Enabled False

С помощью командлета Set-NetFirewallProfile вы можете изменить параметры профиля (действие по-умолчанию, журналирование, путь и размер файла журнала, настройки оповещений и т.д.).

Как вы вероятно знаете, по умолчанию Windows Firewall включен в современных ОС для всех профилей. В настройках профилей разрешены все исходящие подключения и блокируется входящие (кроме разрешенных).

Изменим действие по-умолчнию для профиля Public – заблокировать все входящие подключения.

Set-NetFirewallProfile –Name Public –DefaultInboundAction Block

Текущие настройки профиля можно вывести так:

Get-NetFirewallProfile -Name Public

Если вы управляете настройками Windows Firewall через GPO, вы можете вывести текущие результирующие настройки профилей так:

Get-NetFirewallProfile -policystore activestore

Проверим, что все параметры брандмауэра применяются ко всем сетевым интерфейса компьютера.

Читать еще:  Общая диагностика компьютера

Get-NetFirewallProfile -Name Public | fl DisabledInterfaceAliases

Если все интерфейсы защищены, команда должна вернуть:

Можно отключить определенный профиль для интерфейса (вывести список имен интерфейсов можно с помощью командлета Get-NetIPInterface).

Set-NetFirewallProfile -Name Public -DisabledInterfaceAliases «Ethernet0»

Как вы видите, теперь профиль Public не применяется к интерфейсу Ethernet0:

Вы можете настроить параметры логирования сетевых подключений на уровне каждого профиля. По умолчанию журналы Windows Firewall хранятся в каталоге %systemroot%system32LogFilesFirewall, размер файла – 4 Мб. Вы можете изменить включить журналирование подключений и увеличить максимальный размер файла:

Set-NetFireWallProfile -Profile Domain -LogBlocked True -LogMaxSize 20000 -LogFileName ‘%systemroot%system32LogFilesFirewallpfirewall.log’

Борьба с телеметрией в win10 с помощью Windows Firewall Control и DrWeb

  • Please log in to reply

#1 nata16

  • Posters
  • 23 Сообщений:
    • Наверх

    #2 SergSG

  • Posters
  • 13 329 Сообщений:
  • — Нельзя ли аналогичный режим настроить в DrWeb?

    Теоретически можно, если вы знаете кого блокировать, то просто создайте запрещающие правила

    Но есть подозрение, что винда некоторые нужные ей вещи пускает мимо унитаза.

    • Наверх

    #3 nata16

  • Posters
  • 23 Сообщений:
  • Во-первых, блокировать надо очень много. Во-вторых, при обновлении появляются новые адреса.

    Поэтому и появилась «идея» режима «заблокировать все, что не задано».

    Прочитал еще раз о фаерволе DrWeb — похоже «идея» здесь не работает.

    Буду пробовать с Windows Firewall Control.

    • Наверх

    #4 IlyaS

  • Posters
  • 2 908 Сообщений:
  • Но есть подозрение, что винда некоторые нужные ей вещи пускает мимо унитаза.

    • Наверх

    #5 SergSG

  • Posters
  • 13 329 Сообщений:
  • Но есть подозрение, что винда некоторые нужные ей вещи пускает мимо унитаза.

    «Подозрение» и «доказующе-указающе» — это все таки совсем разные понятия.

    А зачем — это деньги, за них можно и постараться. И они постарались, в принципе, ведь одной кнопой не отключить весь это шпионский супнабор, что мешает пойти дальше и обеспечить ему зеленый свет. Файер Доктора для своих модулей зеленый свет сделал, для безопасности, разумеется, а чем винда хуже?

    Сообщение было изменено SergSG: 07 Январь 2018 — 20:08

    • Наверх

    #6 VVS

  • Moderators
  • 17 972 Сообщений:
  • Во-первых, блокировать надо очень много. Во-вторых, при обновлении появляются новые адреса.
    Поэтому и появилась «идея» режима «заблокировать все, что не задано».


    меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777

    • Наверх

    #7 IlyaS

  • Posters
  • 2 908 Сообщений:
  • Но есть подозрение, что винда некоторые нужные ей вещи пускает мимо унитаза.

    • Наверх

    #8 maxic

    Keep yourself alive

  • Moderators
  • 12 494 Сообщений:
  • IlyaS, если есть такая возможность — наверняка это сделано. Более того, предполагаю, что и отключить нафиг венды можно «одной кнопкой». Не доказано? Нет, конечно. Возможно? Однозначно да.

    • Наверх

    #9 IlyaS

  • Posters
  • 2 908 Сообщений:
  • IlyaS, если есть такая возможность — наверняка это сделано. Более того, предполагаю, что и отключить нафиг венды можно «одной кнопкой». Не доказано? Нет, конечно. Возможно? Однозначно да.

    • Наверх

    #10 SergSG

  • Posters
  • 13 329 Сообщений:
  • Подозрение должно иметь какое-то основание.

    Зачем создавать телеметрию, да еще и портировать ее в старые версии, если от нее можно легко избавиться? Идея блокировки телеметрии файером возникла одновременно с телеметрией и вряд ли MS не в курсе.

    IlyaS, если есть такая возможность — наверняка это сделано. Более того, предполагаю, что и отключить нафиг венды можно «одной кнопкой». Не доказано? Нет, конечно. Возможно? Однозначно да.

    А что мешает? Можно просто дать указания производителям АВ.

    • Наверх
    Читать еще:  Как с помощью VeraCrypt зашифровать весь жесткий диск

    #11 maxic

    Keep yourself alive

  • Moderators
  • 12 494 Сообщений:
  • IlyaS, если есть такая возможность — наверняка это сделано. Более того, предполагаю, что и отключить нафиг венды можно «одной кнопкой». Не доказано? Нет, конечно. Возможно? Однозначно да.

    Вы считаете, что можно проконтролировать весь обмен между MS серверами и ОС? Не думаю, что это так. Вот ОС, созданная в США. Поставляется по всему миру, в том числе и в страны потенциальных противников. Не вижу никаких разумных противопоказаний к тому, чтобы правительство договорилось с производителем о встраивании нужного функционала, чтобы по получении определённого сигнала с серверов ОС переставала функционировать — и это в лучшем случае. Кто отследит всю активность того же svchost? Теоретически возможно? И если уж пришло в голову дилетанту как вполне логичный ход, вряд ли об этом не подумали те, кому по должности положено. Я оптимист

    • Наверх

    #12 IlyaS

  • Posters
  • 2 908 Сообщений:
    • Наверх

    #13 SergSG

  • Posters
  • 13 329 Сообщений:
  • Это любимая теория заговора, насаждаемая безопасниками. А как же стек TCP/IP, модель OSI и отсутствие НДВ, так необходимое для сертификации?

    Все, что угодно можно довести до абсурда, объявить «теорией заговора» и пустить насмех.

    Я очень сильно сомневаюсь. что MS отдает все исходники для российской, или чьей бы то ни было еще сертификации. Еще больше сомневаюсь, что кто то способен перелопатить такое количество кода на наличие закладок или функционала двойного назначения.

    Я не встречал людей, которых бы обрадовало введение телеметрии, но ее ввели, ввели даже в заброшенные ОС, которые ну никак не будут совершенствоваться. И при таком раскладе, было бы глупо не обеспечить телеметрию надежным каналом доставки, что вполне реализуемо. Иначе весь смысл теряется.

    • Наверх

    #14 maxic

    Keep yourself alive

  • Moderators
  • 12 494 Сообщений:
  • Это любимая теория заговора, насаждаемая безопасниками. А как же стек TCP/IP, модель OSI и отсутствие НДВ, так необходимое для сертификации?

    Это обычный здравый смысл.

    • Наверх

    #15 IlyaS

  • Posters
  • 2 908 Сообщений:
    • Наверх

    #16 IlyaS

  • Posters
  • 2 908 Сообщений:
  • Я не встречал людей, которых бы обрадовало введение телеметрии, но ее ввели, ввели даже в заброшенные ОС, которые ну никак не будут совершенствоваться. И при таком раскладе, было бы глупо не обеспечить телеметрию надежным каналом доставки, что вполне реализуемо. Иначе весь смысл теряется.

    • Наверх

    #17 maxic

    Keep yourself alive

  • Moderators
  • 12 494 Сообщений:
  • Не передергивайте. Речь о возможности. Возможность — есть.

    • Наверх

    #18 IlyaS

  • Posters
  • 2 908 Сообщений:
  • И не думал передергивать, где есть возможность ходить в обход BFE?

    Более менее взвешенно насчет телеметрии из http://www.outsidethebox.ms/17896/
    Данные о надежности и безопасности
    Данные о персонализации
    Данные для рекламных целей (не собираются)
    Программы улучшения качества ПО
    Application Insights, позволяющий разработчикам сторонних приложений отслеживать проблемы производительности, падения и прочие проблемы
    Отслеживание событий Windows (ETW)

    • Наверх
    Читать еще:  Исправляем ошибку Wi-Fi про Ограниченный доступ к сет?

    #19 SergSG

  • Posters
  • 13 329 Сообщений:
  • Ладно, ладно, они белые и пушистые. И о безопасности своей страны не думают.

    Но я не хочу телеметрию. И что с этим делать?

    • Наверх

    #20 IlyaS

  • Posters
  • 2 908 Сообщений:
  • Режимы фаервола

    В приложении можно выбрать 4 режима защиты компьютера:

    1. Строгая фильтрация. При включении данной опции происходит полное блокирование всех входящих и исходящих интернет подключений.
    2. Умеренная фильтрация. Рекомендуемый для использования режим, который блокирует только те подключения, которым не давали разрешения.
    3. Слабая фильтрация. В данном режиме блокируются подключения, которые запретили в программе, остальные — разрешаются.
    4. Без фильтрации. Отключает брандмауэр Windows.

    Выбор режима

    Настраиваем брандмауэр Windows

    Теперь советую перейти сразу в «Панель управления» …

    …и настроить брандмауэр Windows…

    Обратите внимание на ссылку внизу окна программы «Управление правилами» …

    …и на эти значки (при наведении курсора на них — появится подсказка)…

    Понравилось мне и заботливое удаление Windows Firewall Control…

    Итог: Данная маленькая программка помогает настроить брандмауэр Windows всего в несколько кликов и превращает его в качественный защитник системы от внешних угроз.

    До новых полезных компьютерных программ и интересных приложений для Андроид.

    Преимущества Windows Firewall Control

    • Бесплатное распространение продукта.
    • Поддержка русского языка интерфейса.
    • Возможность вручную перевести программу на украинский язык.
    • Возможность кастомизации цвета интерфейса.
    • Наличие нескольких профилей с готовым набором правил.
    • Поддержка импорта/экспорта правил брандмауэра Windows из файла.
    • Наличие встроенного журнала.
    • Поддержка интеграции программы с проводником Windows.
    • Наличие встроенного руководства пользователя.

    Windows Firewall Control 6.4.0.0

    Download@Authors Site
    Download@MajorGeeks
    Download@MajorGeeks

    -= advertisement =-

    Windows Firewall Control extends the functionality of the Windows firewall and provides immediate access to the most frequent options of Windows Firewall.

    It runs in the system tray and allows the user to control the native firewall easily without having to waste time navigating to the specific part of the firewall.

    Windows Firewall Control Features:

  • Intuitive and easily accessible interface in the systray.
  • Full support for standard user accounts. Elevated privileges are required only at installation.
  • Create temporary rules which are automatically deleted when they expire or on program restart.
  • Disable the ability of other programs to add Windows Firewall rules.
  • Multiple and easier ways of creating new rules in the Windows Firewall.
  • Full support for creating, modifying, and deleting Window Firewall rules.
  • Lock feature which can disable the access to the settings of the program and Windows Firewall.
  • Shell integration into the right-click context menu of the executable files.
  • Search for invalid rules with the possibility to delete them.
  • Search for executable files through folders and create new rules in seconds.
  • View recently blocked connections and create new rules from the logs: inbound and outbound.
  • Choose if you want the program to start at user login.
  • Import and export the settings of Windows Firewall Control.
  • Protection to unauthorized uninstallation.
  • Possibility to restore previous settings at uninstallation.
  • And many more.

  • Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector