3

Я использую брандмауэр Windows 7 с включенной фильтрацией исходящих сообщений. Брандмауэр Windows не предоставляет пользовательский интерфейс для новых запросов на исходящее соединение, он просто блокирует их. Контроль брандмауэра Windows решает эту проблему с помощью обходного пути - он позволяет вести журнал аудита ошибок сбоев пакетов / соединений, отслеживает в журнале безопасности новые записи и при необходимости выдает подсказки.

Я потратил время на создание списка разрешенных исходящих правил для всех системных служб и приложений, которые должны устанавливать исходящие соединения. Брандмауэр Windows может предназначаться для определенных служб в svchost.exe, позволяя довольно детализированный контроль. Я столкнулся только с двумя вещами, где это не работает - обнаружение сети и криптографические сервисы.

У меня включено следующее правило:

netsh advfirewall firewall add rule name="Windows Cryptographic Services"
  program="%SystemRoot%\System32\svchost.exe" service=CryptSvc 
  protocol=tcp remoteport=80,443 dir=out action=allow

Тем не менее, я все еще продолжаю получать блоки, исходящие от svchost.exe, на котором размещается CryptSvc, пытаясь установить исходящие http-соединения для проверки сертификатов и тому подобное. Я даже использовал sc config CryptSvc type=own чтобы изолировать сервис в своем собственном контейнере, чтобы подтвердить, что это действительно CryptSvc, выполняющий эти запросы. И даже тогда правило все равно не совпадет. Есть много других правил с той же структурой, просто другой целевой сервис, где все работает просто отлично.

До сих пор я не смог найти удовлетворительного обходного пути. Разрешение «всего» для CryptSvc все равно не поможет. Объем должен быть как минимум «все услуги», чтобы соответствовать, и это слишком широк. Я могу добавить правило игнорирования для svchost.exe в WFC, но это, опять же, слишком широкое, на мой взгляд. Я бы предпочел систематическое решение.

РЕДАКТИРОВАТЬ: Попытка изменить мое правило брандмауэра выскакивает окно с предупреждением:

Службы Windows были ограничены правилами, разрешающими только ожидаемое поведение. Правила, которые определяют хост-процессы, такие как svchost.exe, могут работать не так, как ожидалось, поскольку они могут конфликтовать с правилами защиты служб Windows.

Вы уверены, что хотите создать правило, ссылающееся на этот процесс?

Возможно, это «усиление» мешает механизму брандмауэра для идентификации исходной службы.

0