Неожиданные детали работы Windows Firewall, настроенного по умолчанию

Неожиданные детали работы Windows Firewall, настроенного по умолчанию. И эксперименты по перенастройке

Иногда получается, что при выполнении очередного проекта, я случайно открываю какие-то обстоятельства, которые, вроде, никто не скрывает, можно даже найти документацию, поясняющую суть… Но многие, включая меня, находятся в плену заблуждений, поэтому не ищут ту документацию, полагаясь на совершенно неверную картину мира. У меня уже намечается целый цикл из статей, в которых я просто сообщаю, что всё, оказывается, не так, как многие (включая меня) думали. Была у меня статья про DMA, была статья про производительность шины PCI Express. К этому же циклу можно отнести статью про конфигурационные ПЗУ для ПЛИС Altera.

Сегодня мне хотелось бы рассказать пару слов про работу Windows Firewall, или, как его называют в русифицированной ОС – брандмауэра. В целом, это очень хорошая штука, но в частности… Оказывается, по умолчанию он работает в достаточно интересном режиме. Как говорится: «А пацаны и не знают». Итак, начинаем разбираться, что там к чему.

Управление сетевыми профилями брандмауэра Windows из PowerShell

В Windows Firewall есть три типа сетевых профилей:

• Domain (Доменный) – применяется к компьютерам, включенным в домен Active Directory;
• Private (Частный) – домашние или рабочие сети;
• Public (Общий) – общедоступные сети.

Каждый профиль может отличаться используемым набором правил файервола. По умолчанию все сетевые интерфейсы компьютера защищены фаейрволом и к ним применяются все три типа профилей.

Чтобы включить все три сетевых профиля Domain, Public и Private, используйте команду:

Set-NetFirewallProfile -All -Enabled True

Либо укажите конкретный профиль вместо All:

Set-NetFirewallProfile -Profile Public -Enabled True

Чтобы отключить файервол для всех трех сетевых профилей, используется команда:

Set-NetFirewallProfile -All -Enabled False

С помощью командлета Set-NetFirewallProfile вы можете изменить параметры профиля (действие по-умолчанию, журналирование, путь и размер файла журнала, настройки оповещений и т.д.).

Как вы вероятно знаете, по умолчанию Windows Firewall включен в современных ОС для всех профилей. В настройках профилей разрешены все исходящие подключения и блокируется входящие (кроме разрешенных).

Изменим действие по-умолчнию для профиля Public – заблокировать все входящие подключения.

Set-NetFirewallProfile –Name Public –DefaultInboundAction Block

Текущие настройки профиля можно вывести так:

Get-NetFirewallProfile -Name Public

Если вы управляете настройками Windows Firewall через GPO, вы можете вывести текущие результирующие настройки профилей так:

Get-NetFirewallProfile -policystore activestore

Проверим, что все параметры брандмауэра применяются ко всем сетевым интерфейса компьютера.

Get-NetFirewallProfile -Name Public | fl DisabledInterfaceAliases

Если все интерфейсы защищены, команда должна вернуть:

Можно отключить определенный профиль для интерфейса (вывести список имен интерфейсов можно с помощью командлета Get-NetIPInterface).

Set-NetFirewallProfile -Name Public -DisabledInterfaceAliases «Ethernet0»

Как вы видите, теперь профиль Public не применяется к интерфейсу Ethernet0:

Вы можете настроить параметры логирования сетевых подключений на уровне каждого профиля. По умолчанию журналы Windows Firewall хранятся в каталоге %systemroot%system32LogFilesFirewall, размер файла – 4 Мб. Вы можете изменить включить журналирование подключений и увеличить максимальный размер файла:

Set-NetFireWallProfile -Profile Domain -LogBlocked True -LogMaxSize 20000 -LogFileName ‘%systemroot%system32LogFilesFirewallpfirewall.log’

Борьба с телеметрией в win10 с помощью Windows Firewall Control и DrWeb

• Please log in to reply

#1 nata16

• Наверх

#2 SergSG

— Нельзя ли аналогичный режим настроить в DrWeb?

Теоретически можно, если вы знаете кого блокировать, то просто создайте запрещающие правила

Но есть подозрение, что винда некоторые нужные ей вещи пускает мимо унитаза.

• Наверх

#3 nata16

Во-первых, блокировать надо очень много. Во-вторых, при обновлении появляются новые адреса.

Поэтому и появилась «идея» режима «заблокировать все, что не задано».

Прочитал еще раз о фаерволе DrWeb — похоже «идея» здесь не работает.

Буду пробовать с Windows Firewall Control.

• Наверх

#4 IlyaS

Но есть подозрение, что винда некоторые нужные ей вещи пускает мимо унитаза.

• Наверх

#5 SergSG

Но есть подозрение, что винда некоторые нужные ей вещи пускает мимо унитаза.

«Подозрение» и «доказующе-указающе» — это все таки совсем разные понятия.

А зачем — это деньги, за них можно и постараться. И они постарались, в принципе, ведь одной кнопой не отключить весь это шпионский супнабор, что мешает пойти дальше и обеспечить ему зеленый свет. Файер Доктора для своих модулей зеленый свет сделал, для безопасности, разумеется, а чем винда хуже?

Сообщение было изменено SergSG: 07 Январь 2018 — 20:08

• Наверх

#6 VVS

Во-первых, блокировать надо очень много. Во-вторых, при обновлении появляются новые адреса.
Поэтому и появилась «идея» режима «заблокировать все, что не задано».

—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777

• Наверх

#7 IlyaS

Но есть подозрение, что винда некоторые нужные ей вещи пускает мимо унитаза.

• Наверх

#8 maxic

Keep yourself alive

IlyaS, если есть такая возможность — наверняка это сделано. Более того, предполагаю, что и отключить нафиг венды можно «одной кнопкой». Не доказано? Нет, конечно. Возможно? Однозначно да.

• Наверх

#9 IlyaS

IlyaS, если есть такая возможность — наверняка это сделано. Более того, предполагаю, что и отключить нафиг венды можно «одной кнопкой». Не доказано? Нет, конечно. Возможно? Однозначно да.

• Наверх

#10 SergSG

Подозрение должно иметь какое-то основание.

Зачем создавать телеметрию, да еще и портировать ее в старые версии, если от нее можно легко избавиться? Идея блокировки телеметрии файером возникла одновременно с телеметрией и вряд ли MS не в курсе.

IlyaS, если есть такая возможность — наверняка это сделано. Более того, предполагаю, что и отключить нафиг венды можно «одной кнопкой». Не доказано? Нет, конечно. Возможно? Однозначно да.

А что мешает? Можно просто дать указания производителям АВ.

• Наверх

#11 maxic

Keep yourself alive

IlyaS, если есть такая возможность — наверняка это сделано. Более того, предполагаю, что и отключить нафиг венды можно «одной кнопкой». Не доказано? Нет, конечно. Возможно? Однозначно да.

Вы считаете, что можно проконтролировать весь обмен между MS серверами и ОС? Не думаю, что это так. Вот ОС, созданная в США. Поставляется по всему миру, в том числе и в страны потенциальных противников. Не вижу никаких разумных противопоказаний к тому, чтобы правительство договорилось с производителем о встраивании нужного функционала, чтобы по получении определённого сигнала с серверов ОС переставала функционировать — и это в лучшем случае. Кто отследит всю активность того же svchost? Теоретически возможно? И если уж пришло в голову дилетанту как вполне логичный ход, вряд ли об этом не подумали те, кому по должности положено. Я оптимист

• Наверх

#12 IlyaS

• Наверх

#13 SergSG

Это любимая теория заговора, насаждаемая безопасниками. А как же стек TCP/IP, модель OSI и отсутствие НДВ, так необходимое для сертификации?

Все, что угодно можно довести до абсурда, объявить «теорией заговора» и пустить насмех.

Я очень сильно сомневаюсь. что MS отдает все исходники для российской, или чьей бы то ни было еще сертификации. Еще больше сомневаюсь, что кто то способен перелопатить такое количество кода на наличие закладок или функционала двойного назначения.

Я не встречал людей, которых бы обрадовало введение телеметрии, но ее ввели, ввели даже в заброшенные ОС, которые ну никак не будут совершенствоваться. И при таком раскладе, было бы глупо не обеспечить телеметрию надежным каналом доставки, что вполне реализуемо. Иначе весь смысл теряется.

• Наверх

#14 maxic

Keep yourself alive

Это любимая теория заговора, насаждаемая безопасниками. А как же стек TCP/IP, модель OSI и отсутствие НДВ, так необходимое для сертификации?

Это обычный здравый смысл.

• Наверх

#15 IlyaS

• Наверх

#16 IlyaS

Я не встречал людей, которых бы обрадовало введение телеметрии, но ее ввели, ввели даже в заброшенные ОС, которые ну никак не будут совершенствоваться. И при таком раскладе, было бы глупо не обеспечить телеметрию надежным каналом доставки, что вполне реализуемо. Иначе весь смысл теряется.

• Наверх

#17 maxic

Keep yourself alive

Не передергивайте. Речь о возможности. Возможность — есть.

• Наверх

#18 IlyaS

И не думал передергивать, где есть возможность ходить в обход BFE?

Более менее взвешенно насчет телеметрии из http://www.outsidethebox.ms/17896/
Данные о надежности и безопасности
Данные о персонализации
Данные для рекламных целей (не собираются)
Программы улучшения качества ПО
Application Insights, позволяющий разработчикам сторонних приложений отслеживать проблемы производительности, падения и прочие проблемы
Отслеживание событий Windows (ETW)

• Наверх

#19 SergSG

Ладно, ладно, они белые и пушистые. И о безопасности своей страны не думают.

Но я не хочу телеметрию. И что с этим делать?

• Наверх

#20 IlyaS

Режимы фаервола

В приложении можно выбрать 4 режима защиты компьютера:

1. Строгая фильтрация. При включении данной опции происходит полное блокирование всех входящих и исходящих интернет подключений.
2. Умеренная фильтрация. Рекомендуемый для использования режим, который блокирует только те подключения, которым не давали разрешения.
3. Слабая фильтрация. В данном режиме блокируются подключения, которые запретили в программе, остальные — разрешаются.
4. Без фильтрации. Отключает брандмауэр Windows.

Выбор режима

Настраиваем брандмауэр Windows

Теперь советую перейти сразу в «Панель управления» …

…и настроить брандмауэр Windows…

Обратите внимание на ссылку внизу окна программы «Управление правилами» …

…и на эти значки (при наведении курсора на них — появится подсказка)…

Понравилось мне и заботливое удаление Windows Firewall Control…

Итог: Данная маленькая программка помогает настроить брандмауэр Windows всего в несколько кликов и превращает его в качественный защитник системы от внешних угроз.

До новых полезных компьютерных программ и интересных приложений для Андроид.

Преимущества Windows Firewall Control

• Бесплатное распространение продукта.
• Поддержка русского языка интерфейса.
• Возможность вручную перевести программу на украинский язык.
• Возможность кастомизации цвета интерфейса.
• Наличие нескольких профилей с готовым набором правил.
• Поддержка импорта/экспорта правил брандмауэра Windows из файла.
• Наличие встроенного журнала.
• Поддержка интеграции программы с проводником Windows.
• Наличие встроенного руководства пользователя.

Windows Firewall Control 6.4.0.0

Download@Authors Site
Download@MajorGeeks
Download@MajorGeeks

Windows Firewall Control extends the functionality of the Windows firewall and provides immediate access to the most frequent options of Windows Firewall.

It runs in the system tray and allows the user to control the native firewall easily without having to waste time navigating to the specific part of the firewall.

Windows Firewall Control Features: