- Регистрация
- 12.07.2022
- Сообщения
- 7
- Реакции
- 4
Многие используют ОС Windows в качестве настольной системы, но понятия не имеют насколько мощным и удобным является встроеный в нее сетевой экран. Несколько примеров как можно использовать его во-благо своей безопасности (не безопасности ОС, а имено своей личной).
Я считаю, первое что нужно сделать - перевести брандмауэр в режим блокировки. В этом режиме сетевой экран будет останавливать весь трафик, который не прописан в правилах как разрешенный.
Выполняем эту (и далее) команду в консоли, запущеной с привилегиями Администратора (Run As Administrator).
Далее разрешим ОС авторизацию в сервисах MS, правило разрешающее исходящие коннекты для AuthHost.exe
Если нужно разрешим работу с сетью сервисам самой ОС, таким как обновление системы например, исходящий трафик для svchost.exe
Давайте разрешим Net Bios, исходящий ICMP (ping), NSLookup
Вот это правило разрешит ОС проверку работает ли интернет, да, в конце 21 года Window все еще проверяет наличие интренета путем скачивания txt файла с этого хоста. Разрешаем...
Так же разрешим работу тайм служб и протокола для синхронизации времени:
Разрешим исходящий SSH и VPN
Глядя на эти команды внимательный человек уже понял примерный синтаксис, где протокол, где порт, где направление. И уже вполне может сотавлять подобные команды сам.
Осталось прописать весь личный софт с сетевой активностью (всякие Фаерфоксы, Биторренты и прочие WinSCP) в разрешающие правила и жить относительно спокойно - даже если троян попадет на ПК, он не сможет ничего отправить в сеть, ведь сетевой экран заблокирует все, что не прописано в правилах.
Ну и самое интересное:
Правило, которое блокирует весь трафик идущий не по ВПН.
Если вы используйте ВПН - оно вам очень пригодится, ведь в случае дисконнета ВПН ОС моментально переделывает роуты и трафик начинает ломиться напрямую, что моментально компрометирует юзера.
где 10.11.12.1 это ваш локальный ip во внутренней сети.
Правило блокирует весь трафик, в котором исходящий IP ваш сетевой и порт отличный от 1723,
при этом ВПН соединение подключается и работает, и трафик через него тоже.
В случае дисконнекта связи не будет, но трафик не пойдет напрямую.
Все эти правила можно создать и через интерфейс, так же их можно активировать и дизактивировать кнопочками.
Но командной строкой ведь лучше, правда? Можно один раз составить .bat файл и применять его в полтора клика.
Полезным будет изучить и отключить лишние правила самой ОС, которые созданы в конфигурации экрана по умолчанию.
Я считаю, первое что нужно сделать - перевести брандмауэр в режим блокировки. В этом режиме сетевой экран будет останавливать весь трафик, который не прописан в правилах как разрешенный.
Выполняем эту (и далее) команду в консоли, запущеной с привилегиями Администратора (Run As Administrator).
Далее разрешим ОС авторизацию в сервисах MS, правило разрешающее исходящие коннекты для AuthHost.exe
Если нужно разрешим работу с сетью сервисам самой ОС, таким как обновление системы например, исходящий трафик для svchost.exe
Давайте разрешим Net Bios, исходящий ICMP (ping), NSLookup
Вот это правило разрешит ОС проверку работает ли интернет, да, в конце 21 года Window все еще проверяет наличие интренета путем скачивания txt файла с этого хоста. Разрешаем...
Так же разрешим работу тайм служб и протокола для синхронизации времени:
Разрешим исходящий SSH и VPN
Глядя на эти команды внимательный человек уже понял примерный синтаксис, где протокол, где порт, где направление. И уже вполне может сотавлять подобные команды сам.
Осталось прописать весь личный софт с сетевой активностью (всякие Фаерфоксы, Биторренты и прочие WinSCP) в разрешающие правила и жить относительно спокойно - даже если троян попадет на ПК, он не сможет ничего отправить в сеть, ведь сетевой экран заблокирует все, что не прописано в правилах.
Ну и самое интересное:
Правило, которое блокирует весь трафик идущий не по ВПН.
Если вы используйте ВПН - оно вам очень пригодится, ведь в случае дисконнета ВПН ОС моментально переделывает роуты и трафик начинает ломиться напрямую, что моментально компрометирует юзера.
где 10.11.12.1 это ваш локальный ip во внутренней сети.
Правило блокирует весь трафик, в котором исходящий IP ваш сетевой и порт отличный от 1723,
при этом ВПН соединение подключается и работает, и трафик через него тоже.
В случае дисконнекта связи не будет, но трафик не пойдет напрямую.
Все эти правила можно создать и через интерфейс, так же их можно активировать и дизактивировать кнопочками.
Но командной строкой ведь лучше, правда? Можно один раз составить .bat файл и применять его в полтора клика.
Полезным будет изучить и отключить лишние правила самой ОС, которые созданы в конфигурации экрана по умолчанию.