Обсуждение завершено Брандмауэр Windows 10

[born]

Здравствуйте уважаемые форумчане и администраторы!

Мне необходимо настроить Брандмауэр Windows c максимальной эффективностью. Какие порты необходимо закрыть, как скрыть себя в сети, как защитить порты от сканирования, возможно ли защитить настройки Брандмауэра от изменения сторонними программами, какие правила надо прописать, чтобы избавиться от ненужной "телеметрии"? Розыски в сети дают лишь поверхностные объяснения "включить-выключить", "сбросить настройки". Или же другая крайность, профессиональные программисты общаются между собой, что непонятно для даже подготовленного юзера. Буду благодарен и за ссылки на сторонние ресурсы с толковыми гайдами. ОС Windows 10 х 64 сборка 1803.

 

[Moxito]

Здравствуйте! Держите: Как настроить брандмауэр Windows и правила / Заметки Сис.Админа

 

[born]

Этот гайд безусловно толковый, однако остаются не выясненные вопросы:
1. Настраивать "входящие" необходимо "запретить ( по умолчанию)" или "запретить для всех соединений" и чем они отличаются?
2. Что такое пункт "Разрешить одноразовый отклик" Нужно ли его оставить разрешённым "Да" или сделать "Нет". И как это скажется на работоспособности системы и её защищённости?
3.Вопросы закрытия портов и противодействия сканированию там не рассматриваются. Предлагается воспользоваться сторонними программами. Можно ли в принципе решить эти задачи средствами самой ОС или это не возможно?
4.Как настроить действие браузеров только с протоколом IPS ?
5. Возможны ли более сложные задачи, например, защита от подгрузки модулей в системные браузеры IE и Edge? Возможно ли отключение ARP?
6. Как вы оцениваете, предложенную в конце статьи программу WFC? Нужна она или не стоит устанавливать в систему лишнее ненужное ПО?

 

[Moxito]

1. Настраивать "входящие" необходимо "запретить ( по умолчанию)" или "запретить для всех соединений" и чем они отличаются?

Узнайте, что для вашей системы "по умолчанию" (вообще это блок не всех соединений, а важных, по типу виндоуса и т.д.). Блок. полностью - полный непропуск.

2. Что такое пункт "Разрешить одноразовый отклик" Нужно ли его оставить разрешённым "Да" или сделать "Нет". И как это скажется на работоспособности системы и её защищённости?

Отклик - получение от роутера инфы к браузеру. Если хотите полный блок то оффайте.

3.Вопросы закрытия портов и противодействия сканированию там не рассматриваются. Предлагается воспользоваться сторонними программами. Можно ли в принципе решить эти задачи средствами самой ОС или это не возможно?

Скорее нет

4.Как настроить действие браузеров только с протоколом IPS ?

Правило разрешения создайте.

5. Возможны ли более сложные задачи, например, защита от подгрузки модулей в системные браузеры IE и Edge? Возможно ли отключение ARP?

Тут надо копаться в едже и браузерах. А лучше установить постороннего ПО, чтобы быть уверенным 100%.

6. Как вы оцениваете, предложенную в конце статьи программу WFC? Нужна она или не стоит устанавливать в систему лишнее ненужное ПО?

Вполне рекомендую и это не лишнее. А вообще я бы рекомендовал ставить просто Windows Firewall Control, без приставки "10".

 

[born]

Вас понял. Есть ещё ряд вопросов:
1. При настройке правила взаимодействия браузера IE с IPS должен ли я прописать отдельно правило для ieexplorer.exe из папки Program file(x86) и ieexplorer.exe из папки Program file? Так как браузер находится в обеих директориях.
2. Настроил, для примера, запрещение одноразового отклика, связь с Wi-Fi роутером не прерывалась. Какие ещё могут быть эффекты от такой настройки и повышает ли она безопасность системы или это излишне?
3. По Вашей рекомендации нашёл и изучил документацию на программу WFC. Среди прочего, там есть функция зашиты Брандмауэра от внесения вредоносными программами изменений в настройки. А штатного средства самой ОС на это нет? Полагаю, что снабжение Брандмауэра интерфейсом с упрощением настроек и работы с Правилами действительно полезное дело. Но вот непонятно, как WFC сам -то защищает эти настройки, т.к. никакой парольной защиты на это там нет?
4. Если настроено "Запретить входящие для всех соединений" то действуют ли те безусловные правила для служб и компонентов самой Windows которые перечислены как "предустановленные"? Т.е не приведёт ли такая настройка к потере возможности, например, обновления череp ЦО Windows или ещё к каким - нибудь ненужным побочным последствиям?

 

[Moxito]

1. При настройке правила взаимодействия браузера IE с IPS должен ли я прописать отдельно правило для ieexplorer.exe из папки Program file(x86) и ieexplorer.exe из папки Program file? Так как браузер находится в обеих директориях.

Скорее всего да. Но если у Вас 64, то можете не добавлять в program files 86, только проверьте все ярлыки, чтобы они шли к папке без 86.
(Короче говоря лучше обе добавить ибо проблемы могут быть вышеописанные).

2. Настроил, для примера, запрещение одноразового отклика, связь с Wi-Fi роутером не прерывалась. Какие ещё могут быть эффекты от такой настройки и повышает ли она безопасность системы или это излишне?

Значит я забыл. Попробуйте пинг с любым сайтом. Попробуйте пошариться по ютубу, Гуглу. Если ничего не заметите - оставляйте.

. Настроил, для примера, запрещение одноразового отклика, связь с Wi-Fi роутером не прерывалась. Какие ещё могут быть эффекты от такой настройки и повышает ли она безопасность системы или это излишне?
3. По Вашей рекомендации нашёл и изучил документацию на программу WFC. Среди прочего, там есть функция зашиты Брандмауэра от внесения вредоносными программами изменений в настройки. А штатного средства самой ОС на это нет?

Нет.

Полагаю, что снабжение Брандмауэра интерфейсом с упрощением настроек и работы с Правилами действительно полезное дело. Но вот непонятно, как WFC сам -то защищает эти настройки, т.к. никакой парольной защиты на это там нет?

По сути либо отключает брандмауэр, либо блокирует изменения по-системному (вроде это коммерческая тайна или как-то так).

4. Если настроено "Запретить входящие для всех соединений" то действуют ли те безусловные правила для служб и компонентов самой Windows которые перечислены как "предустановленные"? Т.е не приведёт ли такая настройка к потере возможности, например, обновления череp ЦО Windows или ещё к каким - нибудь ненужным побочным последствиям?

В сообщении над Вашим писал - блокирует все, даже системные. Естественно обновление и т.д. не будет работать т.к. нет соединения.

 

[born]

С IE Вас понял, создал правило для обеих. Видел совет на одном сайте ( впрочем мутненьком) , что надо бы запретить ping и это повышает защищённость портов машины. Что Вы об этом думаете? И касательно пресловутых "виндоусовских" портов 139-145 и 445: если я запретил полностью входящие, то есть смысл отдельно прописывать правило закрытия этих портов или это совершенно не нужно?
ЗЫ: Связь с роутером ничуть не стала хуже. По Вашей рекомендации полазил по сайтам и видеохостингам, похоже , что запрещение отклика никак на соединение с ними и передачу контента не влияет. Оставляю включённым.

 

[Moxito]

что надо бы запретить ping и это повышает защищённость портов машины. Что Вы об этом думаете?

Ping не влияет на защищённость, сам пинг отправляет тестовые пакеты на указанный адрес, при том, что это все его функции. Ну в принципе можно отключить, если не используете.
Если запретить все входящие то смысла правила блок. и т.п. вводить смысла нет
А с портами не знаю. Лучше вручную поблокировать.

И касательно пресловутых "виндоусовских" портов 139-145 и 445: если я запретил полностью входящие, то есть смысл отдельно прописывать правило закрытия этих портов или это совершенно не нужно?

По портам на ваше усмотрение.

ЗЫ: Связь с роутером ничуть не стала хуже. По Вашей рекомендации полазил по сайтам и видеохостингам, похоже , что запрещение отклика никак на соединение с ними и передачу контента не влияет. Оставляю включённым.

Ок)

 

[born]

Благодарю Вас подсказки и информацию.