Windows 10 Firewall - วิธีการปฏิเสธขาออกทั้งหมด แต่อนุญาตเฉพาะการอัปเดต Windows เท่านั้น


2

เป้าหมาย:

  • ใช้ Windows 10 Firewall เท่านั้น
  • ปิดกั้นการรับส่งข้อมูลขาออกทั้งหมดตามค่าเริ่มต้น
  • อนุญาตการอัปเดต Windows 10
  • จำกัด บริการ svchost ที่อนุญาตผ่าน

ความคืบหน้าของฉันจนถึงการติดตั้งใหม่:

  • การรับส่งข้อมูลขาออกถูกปฏิเสธโดยค่าเริ่มต้น
  • กฎเริ่มต้นทั้งหมดถูกปิดใช้งาน
  • เครือข่ายหลัก - DHCP-Out: อนุญาต
  • svchost TCP (พอร์ตระยะไกล: 80, 443) และ svchost UDP (พอร์ตระยะไกล: 53): ได้รับอนุญาต
  • อนุญาตให้ใช้โปรแกรมที่ฉันต้องการเชื่อมต่อกับอินเทอร์เน็ต

ด้วยการกำหนดค่าปัจจุบันของฉัน Windows สามารถอัปเดตได้สำเร็จ แต่บริการ svchost ทั้งหมด (เกือบ 200) สามารถเชื่อมต่ออินเทอร์เน็ตได้ ฉันต้องการลดจำนวนบริการ svhost ที่ได้รับอนุญาตให้น้อยที่สุด

ในความพยายามอีกครั้งเพื่อลดบริการ svchost ที่เชื่อมต่อฉันได้สร้างกฎที่แตกต่างกันสำหรับบริการ svchost เฉพาะ (ในขณะที่ปิดใช้งานกฎ svchost ทั่วไปที่ระบุไว้ด้านบน) แต่การปรับปรุง Windows ไม่ทำงาน (โปรแกรมที่ได้รับอนุญาตของฉัน) บริการ svchost ที่ฉันอนุญาตในความพยายามนี้คือ:

  • บริการถ่ายโอนอัจฉริยะเบื้องหลัง (BITS)
  • บริการสิทธิ์การใช้งานไคลเอ็นต์ (ClipSVC)
  • ศูนย์รักษาความปลอดภัย
  • อัปเดตบริการ Orchestrator
  • บริการตัวจัดการสิทธิ์การใช้งาน Windows
  • บริการ Windows Update

ฉันจำเป็นต้องอนุญาต svchost TCP (พอร์ตระยะไกล: 80, 443) และ svchost UDP (พอร์ตระยะไกล: 53) แล้วสร้างกฎการบล็อกใหม่สำหรับบริการ svchost อื่น ๆ (โดยทั่วไปจะเปลี่ยนสิ่งที่ฉันได้ลอง)?

ขอบคุณ!


เพิ่งทำให้คำถามสุดท้ายของฉันไม่ถูกต้อง เพิ่มกฎการบล็อกของ svchost - Windows Update เพียงเพื่อทดสอบ (เนื่องจากเป็นวิธีที่ง่ายที่สุดที่ฉันจำได้เพื่อทดสอบ) แต่การอัปเดตยังคงใช้งานได้ .. ความคิดใด ๆ เกี่ยวกับการบรรลุเป้าหมาย
ichimok

คำตอบ:


1

ฉันพยายามคิดออกเช่นกัน ผู้ผลิต "การควบคุมไฟร์วอลล์ Windows" กล่าวว่า " ใน Windows 7 คุณสามารถสร้างกฎตามบริการสำหรับ svchost.exe แต่ไม่ใช่ใน Windows 10 "ไฟร์วอลล์ Windows ได้กลับมาทำงานอีกครั้งและไม่สามารถใช้งานฟังก์ชั่นที่มีอยู่ได้ซึ่งจะปิดกั้นบริการส่วนบุคคลภายใต้ svchost Microsoft ออกการปรับปรุง windows ทุกวันอังคารที่สองของแต่ละเดือนให้หรือใช้เวลา 24 ชั่วโมง svchost ออกในแต่ละเดือนและอีกหนึ่งสำหรับทุกวันสำหรับการปรับปรุงกองหลัง (สำหรับ 5-10 นาที) หรือเพียงแค่ทำด้วยตนเองหรือสร้าง ทางลัดไปยังงานที่เรียกใช้บนเดสก์ท็อปของคุณ .

หากคุณรู้สึกอยากผจญภัยคุณสามารถบล็อกทุกอย่างเปิดใช้งานการบันทึกแพ็คเก็ตตรวจสอบที่อยู่ IP และพอร์ตสำหรับการเชื่อมต่อเซิร์ฟเวอร์ของ windows windows ทุกการเชื่อมต่อจากนั้นอนุญาตให้ svchost ออกเฉพาะที่อยู่ IP เหล่านี้เท่านั้น windows update หากคุณใช้รูปแบบ cidr แทนที่ตัวเลข 3 หลักสุดท้ายด้วย. 1/24 คุณจะสามารถเข้าถึงทุก ips บนเครือข่ายย่อยนั้นหากมีการเปลี่ยนแปลงตลอดเวลา หากคุณสังเกตเห็นป๊อปของ ip อื่น ๆ ที่อยู่นอกขอบเขตนั้นคุณจะรู้ว่าไม่ใช่หน้าต่างที่อัปเดตฉันไม่แน่ใจว่าจะตรวจพบว่าโปรแกรม / บริการใดที่ทำงานภายใต้ svchost นอกเหนือจากเรียกใช้ด้วยตนเอง

นี่คือตัวอย่างการใช้ Windows Firewall Control ซึ่งเป็น GUI สำหรับ Windows Defender Firewall สำหรับการอัปเดต Windows ให้ใช้โหมดดาวน์โหลด "การเพิ่มประสิทธิภาพการจัดส่ง" ของนโยบายกลุ่มตั้งค่าเป็น 99 (หมายถึงไม่มีบริการ P2P หรือบริการคลาวด์เพียงเซิร์ฟเวอร์ microsofts เพียงอย่างเดียวดังนั้นคุณจะไม่ได้รับ 1,000,000,000 IPS ที่แตกต่างกัน)

ที่อยู่ระยะไกล: 65.55.163.1/24,13.74.179.1/24,191.232.139.1/24,20.36.222.1/24,20.42.23.1/24,191.232.139.2/24,20.36.218.1/24,95.101.1.1 /24,13.78.168.1/24,93.184.221.1/24,13.83.184.1/24,13.107.4.1/24,13.83.148.1/24

ขอบคุณ windows 10 สำหรับยา

enter image description here

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.