2

Цели:

  • Используйте только брандмауэр Windows 10
  • Блокировать весь исходящий трафик по умолчанию
  • Разрешить обновления Windows 10
  • Предел, какие услуги svchost разрешены через

Мой прогресс на свежую установку:

  • Исходящий трафик по умолчанию запрещен
  • Все правила по умолчанию были отключены
  • Базовая сеть - DHCP-выход: разрешено
  • TCP svchost (удаленные порты: 80, 443) и UDP svchost (удаленный порт: 53): разрешено
  • Программы, которые я хочу подключить к интернету, разрешены

В моей текущей конфигурации Windows может успешно обновляться, но все службы svchost (почти 200) могут подключаться к Интернету. Я хочу уменьшить количество служб svhost, которые разрешены до минимума.

В другой попытке уменьшить количество подключенных служб svchost я создал разные правила для определенных служб svchost (при отключении общих правил svchost, указанных выше), но обновления Windows не работают (хотя разрешенные программы работают). Службы svchost, которые я разрешил в этой попытке, были:

  • Фоновая интеллектуальная служба передачи (BITS)
  • Служба клиентских лицензий (ClipSVC)
  • Центр безопасности
  • Обновление службы Orchestrator
  • Служба диспетчера лицензий Windows
  • Центр обновления Windows

Нужно ли разрешать svchost TCP (удаленные порты: 80, 443) и svchost UDP (удаленный порт: 53), а затем вручную создавать новые правила блокировки для каждой из других служб svchost (в основном инвертируя то, что я пробовал)?

Спасибо!

|источник

1 ответ1

1

Я тоже пытаюсь это понять. Создатель "Управления брандмауэром Windows" говорит:« В Windows 7 вы можете создавать правила на основе служб для svchost.exe, но не в Windows 10 ». Брандмауэр Windows регрессировал и не выполняет предлагаемых функций, блокируя отдельные службы под эгидой свчост. Microsoft выпускает обновления Windows каждый второй вторник каждого месяца или дает около 24 часов. Вы можете создать задачу, которая автоматически включает svchost каждый месяц, и одну на каждый день для обновлений защитника; (на 5-10 минут) или просто сделать это вручную. Или создайте ярлык для задачи, которая выполняется по требованию на рабочем столе.

Если вы чувствуете себя авантюрным, вы можете, например, заблокировать все, включить ведение журнала пакетов, отслеживать IP-адреса и порты для каждого подключения к серверу обновлений Windows, а затем разрешить только svchost для этих конкретных IP-адресов, это сузит его, чтобы разрешить только Центр обновления Windows. Если вы используете формат cidr, заменяя последние 3 цифры на .1/24, вы сможете достичь каждого ips в этой подсети, если они меняются со временем. Если вы заметите, что другие ip всплывают вне этой области, вы будете знать, что это не обновление Windows, я не уверен, как можно точно определить, какая программа /служба работает под зонтиком svchost, кроме как запускать ее вручную.

Вот пример использования элемента управления брандмауэром Windows, который представляет собой графический интерфейс для брандмауэра защитника Windows. Для обновлений Windows используйте режим загрузки групповой политики "Оптимизация доставки", равный 99 (то есть без P2P или облачных сервисов, только серверы microsofts; так что вы не получите 1 000 000 000 различных ips)

Удаленные адреса: 65.55.163.1/24,13.74.179.1/24,191.232.139.1/24,20.36.222.1/24,20.42.23.1/24,191.232.139.2/24,20.36.218.1/24,95.101.0.1/24,95.101.1.1/24,13.78.168.1/24,93.184.221.1/24,13.83.184.1/24,13.107.4.1/24,13.83.148.1/24

То Windows 10 для тебя.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .