Налаштування брандмауеру Windows для пiдвищення безпеки

Antihelp

Местный
Безпека... в будь якій тіньовій сфері - це чи не найважливіший фактор.

Багато хто використовуе ОС Windows як основну систему, але й гадки не мають, наскільки потужним і зручним є вбудований у неї мережевий екран.

Якщо підійти до питання налаштувань та розібратися в тонкощах - це гарантує, що, навіть якась мальварь і потрапить на твій ПК, вона не зможе нічого відправити в мережу не змінюючи налаштувань firewall, адже мережевий екран заблокує все, що не прописано в правилах.

Декілька прикладів, як можна використовувати його для своєї безпеки (не безпеки ОС, а саме своєї особистої).

Наголошую, команди, які містяться в цій статті не є універсальними. Багато факторів (версія ОС, софту, який ви вже маете на вашому ПК) можуть бути причиною того, що щось не працює. Звісно команда технічних працівників ресурсу Аморале завжди напоготові підказати певні моменти, але ми не зможемо зробити все за вас.
Якщо не маєте резервної копії ваших данних або можливості перевстановити ОС - робіть маніпуляції тільки якщо розуміете які зміни відбудуться.




Перше, що потрібно зробити - перевести брандмауер в режим блокування.
У цьому режимі екран буде зупиняти весь трафік, який не прописаний у правилах як дозволений.
Виконуємо цю (і далі) команду консолі, запущеної з привілеями Адміністратора (Run As Administrator).


netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound

Далі дозволимо ОС авторизацію в сервісах MS, що дозволяє вихідні коннекти для AuthHost.exe

netsh advfirewall firewall add rule name="AuthHost" dir=out action=allow Program="%SystemRoot%\System32\AuthHost.exe"

Якщо потрібно -дозволимо роботу з мережею сервісів самої ОС, таким як оновлення системи, наприклад, вихідний трафік для svchost.exe

netsh advfirewall firewall add rule name="Services (svchost)" dir=out action=allow Program="%SystemRoot%\System32\svchost.exe"

Далі дозволимо Net Bios, вихідний ICMP (ping), NSLookup

netsh advfirewall firewall add rule name="NetBios Discovery allow TCP" protocol="TCP" dir=in action=allow localport="139,445,3702,49179,5357,5358"
netsh advfirewall firewall add rule name="NetBios Discovery allow UDP" protocol="UDP" dir=in action=allow localport="139,445,1124,3702,5355"
netsh advfirewall firewall add rule name="NetBios Discovery allow TCP" protocol="TCP" dir=out action=allow localport="139,445,3702,49179,5357,5358"
netsh advfirewall firewall add rule name="NetBios Discovery allow UDP" protocol="UDP" dir=out action=allow localport="139,445,1124,3702,5355"
netsh advfirewall firewall add rule name="Windows ICMP" dir=out action=allow protocol=ICMPv4
netsh advfirewall firewall add rule name="Windows NSlookup" dir=out action=allow Program="%SystemRoot%\System32\nslookup.exe"

Ось це правило дозволить ОС перевірку чи працює інтернет.
Та, навіть наприкінці 21 року Windows перевіряє наявність Інтернету шляхом скачування txt файлу з цього хоста. Дозволяємо…

netsh advfirewall firewall add rule name="Network Identifier (svchost)" dir=out action=allow Program="%SystemRoot%\System32\svchost.exe" remoteip=13.107.4.52

Також дозволимо роботу тайм служб та протоколу для синхронізації часу:

netsh advfirewall firewall add rule name="Windows Time Sync" dir=out action=allow protocol=UDP localport=123 Service="W32Time"

Дозволимо вихідний SSH та VPN

netsh advfirewall firewall add rule name="Windows SSH" dir=out action=allow protocol=TCP remoteport=22 Program="%SystemRoot%\System32\OpenSSH\ssh.exe"
netsh advfirewall firewall add rule name="VPN Outbound Connect GRE47" dir=out action=allow protocol=47
netsh advfirewall firewall add rule name="VPN Outbound Connect TCP 1723" protocol="TCP" dir=out action=allow remoteport=1723

Дивлячись на ці команди, найуважніши з вас напевно зрозуміли синтаксис, де протокол, де порт, де напрямок, та напевно здатні зробити аналогічні команди для себе.
Залишилося прописати весь особистий софт з мережевою активністю в правила і жити відносно спокійно.

Ну і найцікавіше: Правило, яке блокує весь трафік, що йде не по ВПН.

Якщо ви використовуєте ВПН - воно вам знадобиться, адже у випадку дисконнета ВПН ОС моментально переробляє роути і трафік що моментально компрометує користувача.

netsh advfirewall firewall add rule name="Block Direct Connections" dir=out action=block protocol=TCP remoteport=1-1722,1724-65535 localip=10.11.12.1
де 10.11.12.1 це ваш локальний IP у внутрішній мережі.

Правило блокує весь трафік, в якому вихідний IP ваш мережевий, і порт відмінний від 1723, при цьому ВПН з'єднання підключається і працює, і трафік через нього теж.

У разі дисконнект зв'язку не буде, але трафік не піде по переробленим роутам.

Для особливих, хто у БТРі:
Наголошую, команди, які містяться в цій статті не є універсальними. Багато факторів (версія ОС, софту, який ви вже маете на вашому ПК) можуть бути причиною того, що щось не працює. Звісно, команда технічних працівників ресурсу Аморале завжди напоготові підказати певні моменти, але ми не зможемо зробити все за вас.
Якщо не маєте резервної копії ваших данних або можливості перевстановити ОС - робіть маніпуляції тільки якщо розуміете які зміни відбудуться.
 
Угорі Унизу