Internet connection firewall windows

Брандмауэр – это встроенный в Windows межсетевой экран (файервол), предназначенный для повышения безопасности системы при работе в сети. В этой статье мы разберем основные функции данного компонента и научимся его настраивать.

Настройка брандмауэра

Многие пользователи пренебрежительно относятся к встроенному файерволу, считая его неэффективным. Вместе с тем, данный инструмент позволяет значительно повысить уровень безопасности ПК с помощью простых инструментов. В отличие от сторонних (особенно бесплатных) программ, брандмауэр довольно легок в управлении, имеет дружественный интерфейс и понятные настройки.
Добраться до раздела опций можно из классической «Панели управления» Windows.

1. Вызываем меню «Выполнить» комбинацией клавиш Windows+R и вводим команду

   control

   Жмем «ОК».

   

   Картинка с сайта: lumpics.ru

2. Переключаемся на режим просмотра «Мелкие значки» и находим апплет «Брандмауэр защитника Windows».
   

   Картинка с сайта: lumpics.ru

Типы сетей

Различают два типа сетей: частные и общественные. Первыми считаются доверенные подключения к устройствам, например, дома или в офисе, когда все узлы известны и безопасны. Вторыми – соединения с внешними источниками через проводные или беспроводные адаптеры. По умолчанию общественные сети считаются небезопасными, и к ним применяются более строгие правила.

Картинка с сайта: lumpics.ru

Включение и отключение, блокировка, уведомления

Активировать брандмауэр или отключить его можно, перейдя по соответствующей ссылке в разделе настроек:

Картинка с сайта: lumpics.ru

Здесь достаточно поставить переключатель в нужное положение и нажать ОК.

Картинка с сайта: lumpics.ru

Блокировка подразумевает запрет всех входящих подключений, то есть любые приложения, в том числе и браузер, не смогут загружать данные из сети.

Картинка с сайта: lumpics.ru

Уведомления представляют собой особые окна, возникающие при попытках подозрительных программ выйти в интернет или локальную сеть.

Картинка с сайта: lumpics.ru

Функция отключается снятием флажков в указанных чекбоксах.

Картинка с сайта: lumpics.ru

Сброс настроек

Данная процедура удаляет все пользовательские правила и приводит параметры к значениям по умолчанию.

Картинка с сайта: lumpics.ru

Сброс обычно производится при сбоях в работе брандмауэра в силу различных причин, а также после неудачных экспериментов с настройками безопасности. Следует понимать, что и «правильные» опции также будут сброшены, что может привести к неработоспособности приложений, требующих подключения к сети.

Картинка с сайта: lumpics.ru

Взаимодействие с программами

Данная функция позволяет разрешить определенным программам подключение к сети для обмена данными.

Картинка с сайта: lumpics.ru

Этот список еще называют «исключениями». Как с ним работать, поговорим в практической части статьи.

Картинка с сайта: lumpics.ru

Правила

Правила – это основной инструмент брандмауэра для обеспечения безопасности. С их помощью можно запрещать или разрешать сетевые подключения. Эти опции располагаются в разделе дополнительных параметров.

Картинка с сайта: lumpics.ru

Входящие правила содержат условия для получения данных извне, то есть загрузки информации из сети (download). Позиции можно создавать для любых программ, компонентов системы и портов. Настройка исходящих правил подразумевает запрет или разрешение отправки запросов на сервера и контроль процесса «отдачи» (upload).

Картинка с сайта: lumpics.ru

Правила безопасности позволяют производить подключения с использованием IPSec – набора специальных протоколов, согласно которым проводится аутентификация, получение и проверка целостности полученных данных и их шифрование, а также защищенная передача ключей через глобальную сеть.

Картинка с сайта: lumpics.ru

В ветке «Наблюдение», в разделе сопоставления, можно просматривать информацию о тех подключениях, для которых настроены правила безопасности.

Картинка с сайта: lumpics.ru

Профили

Профили представляют собой набор параметров для разных типов подключений. Существуют три их типа: «Общий», «Частный» и «Профиль домена». Мы их расположили в порядке убывания «строгости», то есть уровня защиты.

Картинка с сайта: lumpics.ru

При обычной работе эти наборы активируются автоматически при соединении с определенным типом сети (выбирается при создании нового подключения или подсоединении адаптера – сетевой карты).

Практика

Мы разобрали основные функции брандмауэра, теперь перейдем к практической части, в которой научимся создавать правила, открывать порты и работать с исключениями.

Создание правил для программ

Как мы уже знаем, правила бывают входящие и исходящие. С помощью первых настраиваются условия получения трафика от программ, а вторые определяют, смогут ли они передавать данные в сеть.

1. В окне «Монитора» («Дополнительные параметры») кликаем по пункту «Правила для входящих подключений» и в правом блоке выбираем «Создать правило».
   

   Картинка с сайта: lumpics.ru

2. Оставляем переключатель в положении «Для программы» и жмем «Далее».
   

   Картинка с сайта: lumpics.ru

3. Переключаемся на «Путь программы» и жмем кнопку «Обзор».
   

   Картинка с сайта: lumpics.ru

   С помощью «Проводника» ищем исполняемый файл целевого приложения, кликаем по нему и нажимаем «Открыть».

   

   Картинка с сайта: lumpics.ru

   Идем далее.

   

   Картинка с сайта: lumpics.ru

4. В следующем окне видим варианты действия. Здесь можно разрешить или запретить подключение, а также предоставить доступ через IPSec. Выберем третий пункт.
   

   Картинка с сайта: lumpics.ru

5. Определяем, для каких профилей будет работать наше новое правило. Сделаем так, чтобы программа не могла подключаться только к общественным сетям (напрямую к интернету), а в домашнем окружении работала бы в штатном режиме.
   

   Картинка с сайта: lumpics.ru

6. Даем имя правилу, под которым оно будет отображаться в списке, и, по желанию, создаем описание. После нажатия кнопки «Готово» правило будет создано и немедленно применено.
   

   Картинка с сайта: lumpics.ru

Исходящие правила создаются аналогично на соответствующей вкладке.

Картинка с сайта: lumpics.ru

Работа с исключениями

Добавление программы в исключения брандмауэра позволяет быстро создать разрешающее правило. Также в этом списке можно настроить некоторые параметры – включить или отключить позицию и выбрать тип сети, в которой она действует.

Картинка с сайта: lumpics.ru

Подробнее: Добавляем программу в исключения в брандмауэре Windows 10

Правила для портов

Такие правила создаются точно так же, как входящие и исходящие позиции для программ с той лишь разницей, что на этапе определения типа выбирается пункт «Для порта».

Картинка с сайта: lumpics.ru

Наиболее распространенный вариант применения – взаимодействие с игровыми серверами, почтовыми клиентами и мессенджерами.

Подробнее: Как открыть порты в брандмауэре Windows 10

Заключение

Сегодня мы познакомились с брандмауэром Windows и научились использовать его основные функции. При настройке следует помнить о том, что изменения в существующих (установленных по умолчанию) правилах могут привести к снижению уровня безопасности системы, а излишние ограничения – к сбоям в работе некоторых приложений и компонентов, не функционирующих без доступа к сети.

Наша группа в TelegramПолезные советы и помощь

Уровень сложностиСложный

Время на прочтение33 мин

Количество просмотров125K

Картинка с сайта: habr.com

Windows 10 очень любит Интернет. Обновления, синхронизации, телеметрия и ещё куча разной другой очень нужной ЕЙ информации постоянно гуляет через наши сетевые соединения. В «стандартном» сценарии использования, когда Windows 10 управляет домашним или рабочим компьютером, это, в общем-то, терпимо, хотя и не очень приятно.

Однако жизнь сложная штука и не ограничивается только стандартными вариантами. Существуют ситуации, когда подобная сетевая активность операционной системы (ОС) нежелательна и даже вредна. За примерами далеко ходить не надо. Попробуйте подключить к Интернету давно не используемый резервный компьютер, собранный на старом железе. Пока софт на нём не обновится, использовать его будет практически невозможно, всё будет дико тормозить и еле шевелиться. А если вам в этот момент нужно срочно что-то сделать?

Для того чтобы подобного не происходило, необходимо «заткнуть рот Windows», то есть сделать так, чтобы она самостоятельно перестала «стучаться» в Интернет, устанавливать обновления и заниматься прочими непотребствами. Вот именно этим мы с вами и займёмся.

Если бы операционная система (ОС) разрабатывалась для удовлетворения нужд потребителей, то эту статью писать бы не пришлось. В ОС были бы стандартные механизмы настройки, с помощью которых можно было бы отключить весь ненужный функционал, но, к сожалению, это не так.

Проблема в том, что компьютер, управляемый Windows 10, нам не принадлежит. ОС содержит неудаляемые приложения, она может самостоятельно отменять действия пользователя, удалять или инсталлировать программы, а также делать другие вещи, идущие вразрез с мнением пользователя, будь он даже администратор системы.

Интеграция с облачными сервисами в Windows 10 реализована так жёстко, что безболезненно отключить её просто невозможно. При любой попытке деактивации хотя бы части этого функционала в ОС обязательно что-нибудь да сломается. Поэтому дальнейший материал, так сказать, для профессионального использования. Не рекомендуется применять его на ваших компьютерах без предварительного тестирования и отладки.

Знай своего врага в лицо

Первым шагом в нашей войне с «паразитной» сетевой активностью ОС будет исследование этой самой активности. Для этого мы соберём простейший лабораторный стенд, состоящий из двух виртуальных машин (ВМ).

Картинка с сайта: habr.com

Здесь Windows 10 будет выходить в Интернет через промежуточный Linux-шлюз, который будет оказывать ей услуги NAT и DNS-сервера.

Исследовать «паразитный» сетевой трафик будем как на Linux-шлюзе, так и на самой Windows 10. На шлюзе это будем делать с помощью сниффера tcpdump и логов DNS-сервера, а на Windows 10 мы воспользуемся утилитой Process Monitor из пакета Sysinternals.

Настройку Linux-шлюза опустим из-за банальности, а про Process Monitor скажем пару слов. Для наших целей сделаем следующие шаги:

1. Отключим захват всех событий, кроме тех, что связаны с сетью. Для этого главный тулбар настроим следующим образом:
   

   Картинка с сайта: habr.com

2. Настроим сброс отфильтрованных событий, чтобы не было переполнения памяти.
   Для этого в Menu > Filter и активируем опцию «Drop filtered events».

3. Настроим главный экран, что бы он отображал только то, что нам нужно.
   Открываем Options > Select columns и ставим галки только напротив пунктов: «Process name», «Command Line» и «Path»

В результате всех этих экзерциций при анализе сетевого трафика мы сможем увидеть процесс, инициирующий соединение, сетевой адрес назначения, и имена сетевых служб, запускаемых через специализированный процесс svchost.exe.

Картинка с сайта: habr.com

Первый замер

Наш первый замер будет самый простой. Мы дождёмся чуда, когда Windows перестанет передавать что-либо в Интернет, после чего пробежимся по стандартным настройкам ОС и посмотрим, какой трафик при этом будет генерироваться.

Картинка с сайта: habr.com

Смотрите, как здорово. В Интернет передаётся информация практически о каждом нашем клике. Приватность? Не, не слышал… Что ж, мы научились детектировать «паразитный» трафик. Теперь будем разбираться, как его блокировать.

Вариант блокировки № 1 – Windows Firewall

Наиболее логичным вариантом блокировки выглядит использование штатного межсетевого экрана — Windows Firewall. По логике вещей мы должны каким-то образом идентифицировать паразитный трафик и затем его заблокировать. Сделать это можно двумя способами:

1. Оставить разрешённым весь исходящий трафик и при этом блокировать только тот, что мы сочтём паразитным.
2. Запретить весь исходящий трафик, а затем разрешить только тот, что сочтём нужным (не паразитным).

Но поскольку мы работаем в недоверенной системе, то нам нужно убедиться, что Windows Firewall в принципе на это способен. В частности, нам нужно удостовериться, что:

1. Windows Firewall может разрешать или запрещать системный траффик ОС.
2. Windows Firewall может разрешать или запрещать траффик с гранулярностью до системных служб.
3. Windows Firewall самостоятельно не отменит сделанные нами правила или другим образом не проявит излишнюю самостоятельность.

▍ Тест для Windows Firewall № 1. Может ли он блокировать системный трафик?

Идея эксперимента очень проста. Мы запретим любую сетевую активность и посмотрим, какой трафик будет проходить через этот запрет. Для этого в настройках Windows Firewall установим по умолчанию блокировку всего исходящего и входящего трафика, после чего удалим все правила исключения. Данные со шлюза говорят о том, что «паразитный» Интернет-трафик отсутствует, и фиксируются только ARP-запросы.

Картинка с сайта: habr.com

Получается, Windows Firewall может действительно заблокировать весь Интернет-трафик. Звучит обнадёживающе.

▍ Тест для Windows Firewall № 2. Может ли он управлять трафиком конкретной сетевой службы?

В этом эксперименте мы должны убедиться, что Windows Firewall может управлять трафиком с гранулярностью до сервиса. Для этого попробуем разрешить трафик для системного DNS-клиента (имя этой службы – Dnscache). С помощью мастера настройки создадим исходящее правило, разрешающее весь трафик, и укажем, чтобы оно применялось к данной службе.

Картинка с сайта: habr.com

Смотрим, что там на шлюзе.

Картинка с сайта: habr.com

Словно человек, изнывающий от жажды при виде бутылки чистой воды, Windows 10 после разрешения работы DNS-клиента сразу же бросилась пытаться что-нибудь передать или получить из Интернета, ведь она не была в онлайне уже несколько минут. Мало ли что там могло произойти!

Windows Firewall прошёл и это испытание. Остался последний шаг.

▍ Тест для Windows Firewall № 3. Будет ли Windows Firewall самостоятельно исправлять правила, созданные пользователем?

Одним из генераторов «паразитного» трафика является встроенный антивирус Windows Defender. Он качает обновления баз, а также передаёт в облачный сервис (который судя по групповым политикам, называется SpyNet) принадлежащие вам файлы. В качестве теста попробуем заблокировать эту сетевую активность.

Для схемы с разрешённым по умолчанию исходящим трафиком создадим правило блокировки Windows Defender. Для этого в правиле блокировки укажем путь к блокируемой программе: «C:\Program Files\Windows Defender\MpCmdRun.exe»

Картинка с сайта: habr.com

В момент записи правила сразу же срабатывает Windows Defender с обнаружением угрозы (WDBlockFirewallRule) и удаляет сделанное нами правило.

Картинка с сайта: habr.com

Таким образом, последний тест Windows Firewall провалил. Конечно, правила удалил не Windows Firewall, а другой компонент ОС, тем не менее мы в очередной раз убедились, что наш компьютер нам не принадлежит.

▍ Итог по Windows Firewall

Несмотря на все выкрутасы, использование Windows Firewall для блокировки паразитного трафика возможно. Единственной доступной в данном случае схемой будет блокировка по умолчанию всего исходящего трафика с созданием разрешающих правил для трафика, который мы сочтём нужным. Тем не менее осадочек остался, и использовать Windows Firewall дальше мы не будем.

Вариант блокировки № 2 – рекомендации Microsoft

Корпорацию Microsoft наверно так задолбали с наездами по поводу не в меру ретивой сетевой активности Windows, что она выпустила гайд «Manage connections from Windows 10 and Windows 11 operating system components to Microsoft services» о том, как немного притормозить её пыл. В гайде приведены инструкции, как с помощью групповых политик или манипуляций с реестром отключить часть сетевых возможностей ОС. Также Microsoft предлагает удалить некоторые встроенные приложения. Реализация гайда приведена под спойлерами ниже.

Windows Registry Editor Version 5.00

; 8. Internet Explorer. Turn off the home page
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

; 8. Internet Explorer. Turn off the home page
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:1

; 8. Internet Explorer. Disable first run wizard
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main]
"DisableFirstRunCustomize"=dword:1

; 8. Internet Explorer. Set about:blank in new tab
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\TabbedBrowsing]
"NewTabPageShow"=dword:0

; 8.1 ActiveX control blocking. Disable periodocally download a list of out-of-date ActiveX controls
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\VersionManager]
"DownloadVersionList"=dword:0

; 18.1 General. Disable websites access to my language list
[HKEY_CURRENT_USER\Control Panel\International\User Profile]
"HttpAcceptLanguageOptOut"=dword:00000001

; 18.1 General. Disable track app launches
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Start_TrackProgs"=dword:00000000

; 18.1 General. Turn off SmartScreen check of URLs what Microsoft Store apps use:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost]
"EnableWebContentEvaluation"=dword:00000000

; 18.6 Speech. Prevent sending your voice input to Microsoft Speech services:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Speech_OneCore\Settings\OnlineSpeechPrivacy]
"HasAccepted"=dword:00000000

; 18.16 Feedback & diagnostics. Turn off tailored experiences
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CloudContent]
"DisableTailoredExperiencesWithDiagnosticData"=dword:1

; 18.21 Inking & Typing. Turn off Inking & Typing data collection
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InputPersonalization]
"RestrictImplicitTextCollection"=dword:0

; 18.21 Inking & Typing. Turn off Inking & Typing data collection
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InputPersonalization]
"RestrictImplicitInkCollection"=dword:0

; 18.21 Inking & Typing. Turn off Inking & Typing data collection
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\InputPersonalization]
"RestrictImplicitInkCollection"=dword:00000001

; 18.21 Inking & Typing. Turn off Inking & Typing data collection
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\InputPersonalization]
"RestrictImplicitTextCollection"=dword:00000001

; 21. Sync your settings
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Messaging]
"CloudServiceSyncEnabled"=dword:00000000

; 25. Personalized Experiences. Disable feature
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CloudContent]
"DisableWindowsSpotlightFeatures"=dword:1

; !!! This must be done within 15 minutes after Windows 10 or Windows 11 is installed.
; 25. Personalized Experiences. Disable feature
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContent]
"DisableCloudOptimizedContent"=dword:00000001

; 29. Windows Update. Turn off
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:1

; 29. Windows Update. Turn off
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccessMode"=dword:0

Windows Registry Editor Version 5.00

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\AuthRoot]
"DisableRootAutoUpdate"=dword:1

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config]
"ChainUrlRetrievalTimeoutMilliseconds"=dword:15000

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config]
"ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds"=dword:20000

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config]
"Options"=dword:0

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config]
"CrossCertDownloadIntervalHours"=dword:168

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\DPNGRA\Certificates]

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\DPNGRA\CRLs]

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\DPNGRA\CTLs]

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE\Certificates]

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE\CRLs]

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE\CTLs]

; 2.1 Cortana and Search Group Policies. Turn off Cortana
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Windows Search]
"AllowCortana"=dword:0

; 2.1 Cortana and Search Group Policies. Block access to location information for Cortana
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Windows Search]
"AllowSearchToUseLocation"=dword:0

; 2.1 Cortana and Search Group Policies. Remove the option to search the Internet from Cortana
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Windows Search]
"DisableWebSearch"=dword:1

; 2.1 Cortana and Search Group Policies. Stop web queries and results from showing in Search
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Windows Search]
"ConnectedSearchUseWeb"=dword:0

; 2.1 Cortana and Search Group Policies. Firewall block rule
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules]
"{0DE40C8E-C126-4A27-9371-A27DAB1039F7}"="v2.25|Action=Block|Active=TRUE|Dir=Out|Protocol=6|App=%windir%\\SystemApps\\Microsoft.Windows.Cortana_cw5n1h2txyewy\\searchUI.exe|Name=Block outbound Cortana|"

; !!!!!!!!!
; 3. Date & Time. Disable NTP
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"Type"="NoSync"

; !!!!!!!!!
; 3. Date & Time. Disable NTP
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\W32time\TimeProviders\NtpClient]
"Enabled"=dword:0

; 4. Device metadata retrieval. Prevent
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Device Metadata]
"PreventDeviceMetadataFromNetwork"=dword:1

; 5. Find My Device. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\FindMyDevice]
"AllowFindMyDevice"=dword:0

; 6. Font streaming. Disable download on demand
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"EnableFontProviders"=dword:0

; 7. Insider Preview builds. Turn off Insider Preview builds
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\PreviewBuilds]
"AllowBuildPreview"=dword:0

; 7. Insider Preview builds. Turn off Insider Preview builds
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"ManagePreviewBuildsPolicyValue"=dword:1

; 7. Insider Preview builds. Turn off Insider Preview builds
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"BranchReadinessLevel"=-

; 8. Internet Explorer. Disable suggested Sites
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Suggested Sites]
"Enabled"=dword:0

; 8. Internet Explorer. Disable enhanced suggestion in Address Bar
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer]
"AllowServicePoweredQSA"=dword:0

; !!!!!!!!!
; 8. Internet Explorer. Disable auto complete
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete]
"AutoSuggest"="no"

; 8. Internet Explorer. Disable geolocation
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Geolocation]
"PolicyDisableGeolocation"=dword:1

; 8. Internet Explorer. Prevent managing Microsoft Defender SmartScreen
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\PhishingFilter]
"EnabledV9"=dword:0

; 8. Internet Explorer. Turn off Compatibility View
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\BrowserEmulation]
"DisableSiteListEditing"=dword:1

; 8. Internet Explorer. Turn off the flip ahead with page prediction feature
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\FlipAhead]
"Enabled"=dword:0

; 8. Internet Explorer. Turn off background synchronization for feeds and Web Slices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Feeds]
"BackgroundSyncStatus"=dword:0

; 8. Internet Explorer. Disallow Online Tips
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"AllowOnlineTips"=dword:0

; 9. License Manager. Turn off related traffic
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LicenseManager]
"Start"=dword:00000004

; 10. Live Tiles. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\PushNotifications]
"NoCloudApplicationNotification"=dword:1

; 11. Mail synchronization. Turn off the Windows Mail app
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Mail]
"ManualLaunchAllowed"=dword:00000000

; 12. Microsoft Account. Disable Microsoft Account Sign-In Assistant:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wlidsvc]
"Start"=dword:00000004

13.1 Microsoft Edge Group Policies. Disable Address Bar drop-down list suggestions
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\ServiceUI]
"ShowOneBox"=dword:0

13.1 Microsoft Edge Group Policies. Disable configuration updates for the Books Library
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\BooksLibrary]
"AllowConfigurationUpdateForBooksLibrary"=dword:0

13.1 Microsoft Edge Group Policies. Turn off autofill
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\Main]
"Use FormSuggest"="no"

13.1 Microsoft Edge Group Policies. Don't send "Do Not Track"
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\Main]
"DoNotTrack"=dword:1

13.1 Microsoft Edge Group Policies. Disable password manager
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\Main]
"FormSuggest Passwords"="no"

13.1 Microsoft Edge Group Policies. Turn off search suggestion in address bar
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\SearchScopes]
"ShowSearchSuggestionsGlobal"=dword:0

13.1 Microsoft Edge Group Policies. Turn off SmartScreen
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\PhishingFilter]
"EnabledV9"=dword:0

13.1 Microsoft Edge Group Policies. Open blank new tab
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\ServiceUI]
"AllowWebContentOnNewTabPage"=dword:0

13.1 Microsoft Edge Group Policies. Set blank homepage
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\Internet Settings]
"ProvisionedHomePages"="<<about:blank>>"

13.1 Microsoft Edge Group Policies. Prevent the First Run webpage from opening
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\Main]
"PreventFirstRunPage"=dword:1

13.1 Microsoft Edge Group Policies. Disable compatibility mode
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\BrowserEmulation]
"MSCompatibilityMode"=dword:0

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"SearchSuggestEnabled"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"AutofillAddressEnabled"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"AutofillCreditCardEnabled"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"ConfigureDoNotTrack"=dword:00000001

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"PasswordManagerEnabled"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"DefaultSearchProviderEnabled"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"HideFirstRunExperience"=dword:00000001

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"SmartScreenEnabled"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"NewTabPageLocation"="about:blank"

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"RestoreOnStartup"=dword:00000005

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\RestoreOnStartupURLs]
"1"="about:blank"

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate]
"UpdateDefault"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate]
"AutoUpdateCheckPeriodMinutes"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate]
"ExperimentationAndConfigurationServiceControl"=dword:00000000

; 14. Network Connection Status Indicator. Turn off active probe
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator]
"NoActiveProbe"=dword:1

; 15. Offline maps. Disable download and update offline maps
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Maps]
"AutoDownloadAndUpdateMapData"=dword:0

; 15. Offline maps. Disable download and update offline maps
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Maps]
"AllowUntriggeredNetworkTrafficOnSettingsPage"=dword:0

; 16. OneDrive. Prevent the usage of OneDrive for file storage
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\OneDrive]
"DisableFileSyncNGSC"=dword:1

; 16. OneDrive. Prevent OneDrive from generating network traffic until the user signs in to OneDrive
[HKEY_LOCAL_MACHINE\Software\Microsoft\OneDrive]
"PreventNetworkTrafficPreUserSignIn"=dword:1

; 18.1 General. Turn off advertising ID
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo]
"Enabled"=dword:00000000

; 18.1 General. Turn off advertising ID
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AdvertisingInfo]
"DisabledByGroupPolicy"=dword:1

; 18.1 General. Disable continue experiences
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"EnableCdp"=dword:0

; 18.2 Location. Prevent apps from accessing the location
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LocationAndSensors]
"DisableLocation"=dword:1

; 18.2 Location. Prevent apps from accessing the location
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessLocation"=dword:2

; 18.2 Location. Prevent apps from accessing the location
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessLocation_UserInControlOfTheseApps"=hex(7):00,00

; 18.2 Location. Prevent apps from accessing the location
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessLocation_ForceAllowTheseApps"=hex(7):00,00

; 18.2 Location. Prevent apps from accessing the location
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessLocation_ForceDenyTheseApps"=hex(7):00,00

; 18.3 Camera. Prevent apps from accessing the camera
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCamera"=dword:2

; 18.3 Camera. Prevent apps from accessing the camera
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCamera_UserInControlOfTheseApps"=hex(7):00,00

; 18.3 Camera. Prevent apps from accessing the camera
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCamera_ForceAllowTheseApps"=hex(7):00,00

; 18.3 Camera. Prevent apps from accessing the camera
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCamera_ForceDenyTheseApps"=hex(7):00,00

; 18.4 Microphone. Prevent apps from accessing the microphone
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMicrophone"=dword:2

; 18.4 Microphone. Prevent apps from accessing the microphone
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMicrophone_UserInControlOfTheseApps"=hex(7):00,00

; 18.4 Microphone. Prevent apps from accessing the microphone
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMicrophone_ForceAllowTheseApps"=hex(7):00,00

; 18.4 Microphone. Prevent apps from accessing the microphone
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMicrophone_ForceDenyTheseApps"=hex(7):00,00

; 18.5 Notifications. Turn off cloud notifications notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\PushNotifications]
"NoCloudApplicationNotification"=dword:1

; 18.5 Notifications. Prevent apps from accessing my notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessNotifications"=dword:2

; 18.5 Notifications. Prevent apps from accessing my notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessNotifications_UserInControlOfTheseApps"=hex(7):00,00

; 18.5 Notifications. Prevent apps from accessing my notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessNotifications_ForceAllowTheseApps"=hex(7):00,00

; 18.5 Notifications. Prevent apps from accessing my notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessNotifications_ForceDenyTheseApps"=hex(7):00,00

; 18.6 Speech. Turn off updates to the speech recognition and speech synthesis models
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Speech]
"AllowSpeechModelUpdate"=dword:0

; 18.6 Speech. Turn off updates to the speech recognition and speech synthesis models
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InputPersonalization]
"AllowInputPersonalization"=dword:0

; 18.7 Account info. Prevent apps from accessing account info
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessAccountInfo"=dword:2

; 18.7 Account info. Prevent apps from accessing account info
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessAccountInfo_UserInControlOfTheseApps"=hex(7):00,00

; 18.7 Account info. Prevent apps from accessing account info
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessAccountInfo_ForceAllowTheseApps"=hex(7):00,00

; 18.7 Account info. Prevent apps from accessing account info
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessAccountInfo_ForceDenyTheseApps"=hex(7):00,00

; 18.8 Contacts. Prevent apps from accessing contacts
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessContacts"=dword:2

; 18.8 Contacts. Prevent apps from accessing contacts
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessContacts_UserInControlOfTheseApps"=hex(7):00,00

; 18.8 Contacts. Prevent apps from accessing contacts
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessContacts_ForceAllowTheseApps"=hex(7):00,00

; 18.8 Contacts. Prevent apps from accessing contacts
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessContacts_ForceDenyTheseApps"=hex(7):00,00

; 18.9 Calendar. Prevent apps from accessing calendar
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCalendar"=dword:2

; 18.9 Calendar. Prevent apps from accessing calendar
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCalendar_UserInControlOfTheseApps"=hex(7):00,00

; 18.9 Calendar. Prevent apps from accessing calendar
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCalendar_ForceAllowTheseApps"=hex(7):00,00

; 18.9 Calendar. Prevent apps from accessing calendar
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCalendar_ForceDenyTheseApps"=hex(7):00,00

; 18.10 Call history. Prevent apps from accessing call history
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCallHistory"=dword:2

; 18.10 Call history. Prevent apps from accessing call history
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCallHistory_UserInControlOfTheseApps"=hex(7):00,00

; 18.10 Call history. Prevent apps from accessing call history
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCallHistory_ForceAllowTheseApps"=hex(7):00,00

; 18.10 Call history. Prevent apps from accessing call history
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCallHistory_ForceDenyTheseApps"=hex(7):00,00

; 18.11 Email. Prevent apps from accessing emails
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessEmail"=dword:2

; 18.11 Email. Prevent apps from accessing emails
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessEmail_UserInControlOfTheseApps"=hex(7):00,00

; 18.11 Email. Prevent apps from accessing emails
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessEmail_ForceAllowTheseApps"=hex(7):00,00

; 18.11 Email. Prevent apps from accessing emails
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessEmail_ForceDenyTheseApps"=hex(7):00,00

; 18.12 Messaging. Prevent apps from accessing messages
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMessaging"=dword:2

; 18.12 Messaging. Prevent apps from accessing messages
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMessaging_UserInControlOfTheseApps"=hex(7):00,00

; 18.12 Messaging. Prevent apps from accessing messages
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMessaging_ForceAllowTheseApps"=hex(7):00,00

; 18.12 Messaging. Prevent apps from accessing messages
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMessaging_ForceDenyTheseApps"=hex(7):00,00

; 18.12 Messaging. Turn off Message Sync
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Messaging]
"AllowMessageSync"=dword:0

; 18.13 Phone calls. Prevent apps from accessing phone calls
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessPhone"=dword:2

; 18.13 Phone calls. Prevent apps from accessing phone calls
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessPhone_UserInControlOfTheseApps"=hex(7):00,00

; 18.13 Phone calls. Prevent apps from accessing phone calls
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessPhone_ForceAllowTheseApps"=hex(7):00,00

; 18.13 Phone calls. Prevent apps from accessing phone calls
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessPhone_ForceDenyTheseApps"=hex(7):00,00

; 18.14 Radios. Prevent apps from accessing radio
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessRadios"=dword:2

; 18.14 Radios. Prevent apps from accessing radio
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessRadios_UserInControlOfTheseApps"=hex(7):00,00

; 18.14 Radios. Prevent apps from accessing radio
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessRadios_ForceAllowTheseApps"=hex(7):00,00

; 18.14 Radios. Prevent apps from accessing radio
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessRadios_ForceDenyTheseApps"=hex(7):00,00

; 18.15 Other devices. Prevent communications with unpaired devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsSyncWithDevices"=dword:2

; 18.15 Other devices. Prevent communications with unpaired devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsSyncWithDevices_UserInControlOfTheseApps"=hex(7):00,00

; 18.15 Other devices. Prevent communications with unpaired devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsSyncWithDevices_ForceAllowTheseApps"=hex(7):00,00

; 18.15 Other devices. Prevent communications with unpaired devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsSyncWithDevices_ForceDenyTheseApps"=hex(7):00,00

; 18.15 Other devices. Prevent communications with tursted devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTrustedDevices"=dword:2

; 18.15 Other devices. Prevent communications with tursted devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTrustedDevices_UserInControlOfTheseApps"=hex(7):00,00

; 18.15 Other devices. Prevent communications with tursted devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTrustedDevices_ForceAllowTheseApps"=hex(7):00,00

; 18.15 Other devices. Prevent communications with tursted devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTrustedDevices_ForceDenyTheseApps"=hex(7):00,00

; 18.16 Feedback & diagnostics. Turn off Feedback notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection]
"DoNotShowFeedbackNotifications"=dword:1

; 18.16 Feedback & diagnostics. Disable telemetry
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection]
"AllowTelemetry"=dword:0

; 18.16 Feedback & diagnostics. Turn off tailored experiences
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CloudContent]
"DisableWindowsConsumerFeatures"=dword:1

; 18.17 Background apps. Turn off background app
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsRunInBackground"=dword:2

; 18.17 Background apps. Turn off background app
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsRunInBackground_UserInControlOfTheseApps"=hex(7):00,00

; 18.17 Background apps. Turn off background app
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsRunInBackground_ForceAllowTheseApps"=hex(7):00,00

; 18.17 Background apps. Turn off background app
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsRunInBackground_ForceDenyTheseApps"=hex(7):00,00

; 18.18 Motion. Prevent apps from accessing motion data
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMotion"=dword:2

; 18.18 Motion. Prevent apps from accessing motion data
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMotion_UserInControlOfTheseApps"=hex(7):00,00

; 18.18 Motion. Prevent apps from accessing motion data
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMotion_ForceAllowTheseApps"=hex(7):00,00

; 18.18 Motion. Prevent apps from accessing motion data
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMotion_ForceDenyTheseApps"=hex(7):00,00

; 18.19 Tasks. Prevent apps from accessing tasks
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTasks"=dword:2

; 18.19 Tasks. Prevent apps from accessing tasks
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTasks_UserInControlOfTheseApps"=hex(7):00,00

; 18.19 Tasks. Prevent apps from accessing tasks
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTasks_ForceAllowTheseApps"=hex(7):00,00

; 18.19 Tasks. Prevent apps from accessing tasks
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTasks_ForceDenyTheseApps"=hex(7):00,00

; 18.20 App Diagnostics. Prevent apps from accessing diagnostic information
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsGetDiagnosticInfo"=dword:2

; 18.20 App Diagnostics. Prevent apps from accessing diagnostic information
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsGetDiagnosticInfo_UserInControlOfTheseApps"=hex(7):00,00

; 18.20 App Diagnostics. Prevent apps from accessing diagnostic information
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsGetDiagnosticInfo_ForceAllowTheseApps"=hex(7):00,00

; 18.20 App Diagnostics. Prevent apps from accessing diagnostic information
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsGetDiagnosticInfo_ForceDenyTheseApps"=hex(7):00,00

; 18.21 Inking & Typing. Turn off Inking & Typing data collection
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\TextInput]
"AllowLinguisticDataCollection"=dword:0

; 18.22 Activity History. Turn off tracking of your Activity History
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"EnableActivityFeed"=dword:0

; 18.22 Activity History. Turn off tracking of your Activity History
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"PublishUserActivities"=dword:0

; 18.22 Activity History. Turn off tracking of your Activity History
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"UploadUserActivities"=dword:0

; 18.23 Voice Activation. Turn Off apps ability to listen for a Voice keyword
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsActivateWithVoice"=dword:2

; 18.23 Voice Activation. Turn Off apps ability to listen for a Voice keyword
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsActivateWithVoiceAboveLock"=dword:2

; 18.24 News and interests. Disable Windows Feeds
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Feeds]
"EnableFeeds"=dword:00000000

; 19. Software Protection Platform. Turn off sending KMS client activation data to Microsoft
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection Platform]
"NoGenTicket"=dword:1

; 20. Storage health. Turn off downloading updates to the Disk Failure Prediction Model
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\StorageHealth]
"AllowDiskHealthModelUpdates"=dword:0

; 21. Sync your settings. Turn off settings sync
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSync]
"DisableSettingSync"=dword:2

; 21. Sync your settings. Turn off settings sync
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSync]
"DisableSettingSyncUserOverride"=dword:1

; 22. Teredo. Disable Teredo
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\TCPIP\v6Transition]
"Teredo_State"="Disabled"

; 23. Wi-Fi Sense. Turn off the feature
[HKEY_LOCAL_MACHINE\Software\Microsoft\wcmsvc\wifinetworkmanager\config]
"AutoConnectAllowedOEM"=dword:0

; 24. Microsoft Defender Antivirus. Disconnect from the Microsoft Antimalware Protection Service
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet]
"SpynetReporting"=dword:0

; 24. Microsoft Defender Antivirus. Stop sending file samples back to Microsoft
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet]
"SubmitSamplesConsent"=dword:2

; 24. Microsoft Defender Antivirus. Stop downloading Definition Updates
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Signature Updates]
"FallbackOrder"="FileShares"

; 24. Microsoft Defender Antivirus. Stop downloading Definition Updates
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Signature Updates]
"DefinitionUpdateFileSharesSources"="Nothing"

; 24. Microsoft Defender Antivirus. Turn off Malicious Software Reporting Tool (MSRT) diagnostic data:
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MRT]
"DontReportInfectionInformation"=dword:00000001

; 24. Microsoft Defender Antivirus. Turn off Enhanced Notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Reporting]
"DisableEnhancedNotifications"=dword:1

; 24.1 Microsoft Defender SmartScreen. Disable feature
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"EnableSmartScreen"=dword:0

; 24.1 Microsoft Defender SmartScreen. Disable feature
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\SmartScreen]
"ConfigureAppInstallControlEnabled"=dword:1

; 24.1 Microsoft Defender SmartScreen. Disable feature
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\SmartScreen]
"ConfigureAppInstallControl"="Anywhere"

; 24.1 Microsoft Defender SmartScreen. Disable feature
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"ShellSmartScreenLevel"=-

; 25. Personalized Experiences. Disable feature
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CloudContent]
"DisableCloudOptimizedContent"=dword:1

; 26. Microsoft Store. Disable all apps from Microsoft Store
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsStore]
"DisableStoreApps"=dword:1

; 26. Microsoft Store. Turn off Automatic Download and Install of updates.
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsStore]
"AutoDownload"=dword:2

; 27. Apps for websites. Turn off apps for websites
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"EnableAppUriHandlers"=dword:0

; 28.3. Delivery Optimization. (simple mode) prevent P2P traffic 
; Value is Hex 63 = 99 decimal
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeliveryOptimization]
"DODownloadMode"=dword:63

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotConnectToWindowsUpdateInternetLocations"=dword:1

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:1

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"=" "

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"WUStatusServer"=" "

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"UpdateServiceUrlAlternate"=" "

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
"UseWUServer"=dword:1

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"FillEmptyContentUrls"=-

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotEnforceEnterpriseTLSCertPinningForUpdateDetection"=-

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"SetProxyBehaviorForUpdateDetection"=dword:0

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate]
"AutoDownload"=dword:00000005

; 30. Cloud Clipboard
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"AllowCrossDeviceClipboard"=dword:0

; 31. Services Configuration. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection]
"DisableOneSettingsDownloads"=dword:00000001

get-AppxPackage | Remove-AppxPackage
$packs = Get-AppxProvisionedPackage -online | Select-Object PackageName
foreach ($pack in $packs) {Remove-AppxProvisionedPackage -online -PackageName $pack.PackageName}
get-AppxPackage -allusers | Remove-AppxPackage

'Uninstalling OneDrive...'
taskkill.exe /F /IM "OneDrive.exe"
& "$env:systemroot\SysWOW64\OneDriveSetup.exe" /uninstall
'... waiting until OneDrive will be uninstalled ....'
while (Test-Path $env:LOCALAPPDATA\Microsoft\OneDrive\OneDrive.exe) { Start-Sleep 1 }
'... OneDrive Uninstalling complete!'

Применим все эти файлы, перезагрузимся и посмотрим, что станет с трафиком.

Важно! Перед применением REG-файлов необходимо отключить самозащиту Windows Defender (Tamper protection). О том, как это сделать, будет в конце статьи.

Картинка с сайта: habr.com

«Паразитный» трафик уменьшился в разы, но, ожидаемо, не пропал полностью. Анализ фонового трафика находящейся в простое ВМ выявил следующих «болтунов»:

1. MS Edge;
2. Сервис Delivery Optimization (DoSvc);
3. Сервис AppX Deployment Service (AppXSVC);
4. Сервис Windows Update (wuauserv).

С большей частью болтунов можно разобраться, указав в свойствах сетевого подключения, что оно лимитированное (mettered). Для проводных (Ethernet) соединений сделать это можно с помощью скрипта под спойлером.

<# 
.SYNOPSIS : PowerShell script to set Ethernet connection as metered or not metered

.AUTHOR : Michael Pietroforte

.SITE : https://4sysops.com
#>

#We need a Win32 class to take ownership of the Registry key
$definition = @"
using System;
using System.Runtime.InteropServices; 

namespace Win32Api
{

public class NtDll
{
[DllImport("ntdll.dll", EntryPoint="RtlAdjustPrivilege")]
public static extern int RtlAdjustPrivilege(ulong Privilege, bool Enable, bool CurrentThread, ref bool Enabled);
}
}
"@ 

Add-Type -TypeDefinition $definition -PassThru | Out-Null
[Win32Api.NtDll]::RtlAdjustPrivilege(9, $true, $false, [ref]$false) | Out-Null

#Setting ownership to Administrators
$key = [Microsoft.Win32.Registry]::LocalMachine.OpenSubKey("SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost",[Microsoft.Win32.RegistryKeyPermissionCheck]::ReadWriteSubTree,[System.Security.AccessControl.RegistryRights]::takeownership)
$acl = $key.GetAccessControl()
$acl.SetOwner([System.Security.Principal.NTAccount]"Administrators")
$key.SetAccessControl($acl)

#Giving Administrators full control to the key
$rule = New-Object System.Security.AccessControl.RegistryAccessRule ([System.Security.Principal.NTAccount]"Administrators","FullControl","Allow")
$acl.SetAccessRule($rule)
$key.SetAccessControl($acl)

#Setting Ethernet as metered or not metered
$path = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost"
$name = "Ethernet"
$metered = Get-ItemProperty -Path $path | Select-Object -ExpandProperty $name

New-ItemProperty -Path $path -Name $name -Value "2" -PropertyType DWORD -Force | Out-Null
Write-Host "Ethernet is now set to metered."

После применения этого скрипта объём передаваемого трафика снизится ещё больше (~1Mb/час), а единственным болтуном останется MS Edge. Если вы планируете использовать этот браузер в дальнейшем, то на этом можно и успокоиться. Для тех же, кто хочет полной приватности, необходимо победить финального босса — MS Edge.

Чтобы прикрыть ему рот, необходимо с помощью штатных средств (Menu > Settings) настроить браузер таким образом, чтобы он использовал облачные службы, синхронизировался и выполнял прочую сетевую активность по минимуму. Если требуется настроить несколько машин, то можно только на одной настроить пользовательский профиль в браузере, а потом копировать его на все другие машины. Профиль хранится в «%LOCALAPPDATA%\Microsoft\Edge\User Data».

После настройки браузера необходимо отключить службы Edge, отвечающие за обновления, и удалить задания из системного планировщика. Сделать всё это можно следующим скриптом:

'Killing MS Edge processes...'
C:\Windows\System32\taskkill.exe /F /IM "msedge.exe"

'Stroping MS Edge update related services...'
C:\Windows\System32\net.exe stop MicrosoftEdgeElevationService
C:\Windows\System32\net.exe stop edgeupdate
C:\Windows\System32\net.exe stop edgeupdatem

'Disabling MS Edge update related services...'
C:\Windows\System32\sc.exe config MicrosoftEdgeElevationService obj= .\Guest start= disabled
C:\Windows\System32\sc.exe config edgeupdate obj= .\Guest start= disabled
C:\Windows\System32\sc.exe config edgeupdatem obj= .\Guest start= disabled

'Removing MS Edge update related Scheduler Tasks...'
Get-ScheduledTask -TaskName "*EdgeUpdate*" | Unregister-ScheduledTask -Confirm:$false

После всех этих манипуляций с MS Edge система полностью прекратит генерировать фоновый Интернет-трафик (при измерении в режиме простоя). Важно отметить, что любой неосторожный запуск MS Edge приведёт к тому, что он снова будет втихаря стучаться в Интернет. Так что будьте осторожны.

▍ Отключение Windows Defender

Данный шаг является опциональным, поскольку болтливость встроенного антивируса существенно ограничится REG-файлами, приведёнными выше. Однако, в условиях, когда антивирус не обновляется, он теряет всякую актуальность и жрёт ресурсы впустую. Чтобы его отключить, нужно сделать следующее:

1. Руками, с помощью GUI в настройках антивируса необходимо отключить опцию «Tamper protection» (Settings > Update & Security > Windows Security > Virus & Threat protection > Virus & Threat protection settings > Tamper protection off).
   

   Картинка с сайта: habr.com

2. Затем следует применить следующий REG-файл.

   REG-файл, отключающий Windows Defender

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
   "DisableAntiSpyware"=dword:00000001
   

▍ Краткая инструкция применения данного способа блокировки

1. Загрузить REG-файлы уровня пользователя user.reg и уровня компьютера comp.reg.
2. Запустить скрипт, удаляющий встроенные приложения.
3. Запустить скрипт, устанавливающий признак лимитированного соединения.
4. Провести настройку браузера MS Edge.
5. Запустить скрипт, отключающий механизмы обновления MS Edge.

▍ Послевкусие и стратегия использования

Как уже отмечалось выше, любые попытки отключения сетевых возможностей ОС Windows 10 приводят к проблемам. Данный способ не исключение.

Практика показала, что после проведения всех этих манипуляций некоторые программы, например, Mozilla Firefox, отказываются инсталлироваться. Тем не менее ранее установленные программы, тот же Firefox, продолжают работать. Всё это говорит о том, что стратегия «затыкания рта Windows» должна быть такой:

1. Полностью обновить ОС.
2. Инсталляция и настройка требуемых сторонних программ.
3. Отключение «паразитного» сетевого трафика.

Помоги спутнику бороться с космическим мусором в нашей новой игре! 🛸

Картинка с сайта: habr.com

Что можно сказать о встроенном фаерволе Windows? Если коротко — он есть, и, в принципе, задачи свои выполняет. Но есть нюансы 🙂

Встроенный межсетевой экран (он же фаервол, он же брандмауэр) появился еще в Windows XP под названием Internet Connection Firewall (ICF). Функционал у него был довольно бедный, настройки производились вручную под каждый сетевой интерфейс, кроме того он не умел фильтровать исходящий трафик. Из за проблем с совместимостью он по умолчанию был выключен, а из за того, что его настройки находились в конфигурации сети, многие пользователи не находили их и не могли его включить.

С выходом Windows XP SP2 ситуация изменилась. Была значительно улучшена функциональность фаервола, полностью переработан интерфейс управления, а сам фаервол был переименован в Windows Firewall. По умолчанию он был включен и через него фильтровались все сетевые подключения. Появилась возможность логирования подключений, управление правилами через групповые политики, сетевые профили и многое другое. Но фильтрация исходящего трафика в нем по прежнему отсутствовала.

В Windows Vista\Server 2008 фаервол наконец то обрел возможность фильтровать исходящий трафик. Количество профилей увеличилось до трех – доменая, частная и публичная сеть. Появилась возможность использовать расширенный фильтр пакетов и применять правила к определённым диапазонам IP-адресов и портов.

В таком примерно виде он и дошел до наших дней, и сейчас входит в состав операционных систем Windows под именем Windows Defender Firewall (фаервол защитника Windows).

На этом заканчиваем с историей и переходим к более практичным вещам.

Профили

Каждому сетевому подключению в Windows назначается один из трех сетевых профилей:

• Private — частная сеть. Это доверенная сеть, например домашняя или рабочая сеть в офисе. В частной сети компьютер будет доступен для обнаружения другими устройствами, на нем можно использовать службы общего доступа к сетевым файлам и принтерам;
• Public — общедоступная (общественная) сеть. Это недоверенная (небезопасная) сеть, например Wi-Fi в кафе, в метро, аэропорту и т.п.. В такой сети не работает сетевое обнаружение, а также службы общего доступа к сетевым файлам и принтерам;
• Domain — доменная сеть. Сетевой профиль для компьютеров, которые находятся в корпоративной сети и присоединены к домену Active Directory.

Профиль определяется при подключении к сети. Если компьютер доменный и находится в доменной сети, то автоматически выбирается доменный профиль. В остальных случаях выбор делает пользователь, при подключении к сети. Впрочем, выбор этот в дальнейшем можно поменять.

В зависимости от профиля к сетевому интерфейсу могут применяться разные правила фаервола. Узнать, какой именно профиль активен в данный момент, можно из оснастки управления фаерволом. Открыть ее быстрее всего, нажав Win+R и выполнив команду wf.msc.

Картинка с сайта: windowsnotes.ru

Режимы работы

Для ограничения доступа обычно используются 2 различных подхода:

• Черный список — разрешено все что не запрещено;
• Белый список — запрещено все, что не разрешено.

В Windows Firewall по умолчанию используются оба подхода, причем одновременно. Чтобы убедиться в этом, откроем контекстное меню и перейдем к свойствам.

Картинка с сайта: windowsnotes.ru

В открывшемся окне глобальные настройки фаервола, разбитые по профилям. Для каждого профиля мы можем включить\выключить фаервол, а также указать действие, которое будет применено к подключению, не подходящему под какое либо правило. Действия разделены, отдельно для входящего трафика, отдельно для исходящего. И для входящего трафика по умолчанию все, что не описано правилами, будет блокироваться (черный список), а для исходящего наоборот, все что не описано правилами будет пропускаться (черный список). Ну а поскольку каких либо запрещающих правил для исходящего трафика нет, то по умолчанию весь исходящий трафик никак не контролируется.

Типы правил

В документации Microsoft описаны следующие типы правил, которые поддерживает Windows Firewall:

• Windows Service Hardening — усиление защиты служб Windows. Тип встроенного правила, запрещающий системным службам устанавливать соединения способами, отличными от предусмотренных. Ограничения служб настраиваются таким образом, чтобы они могли взаимодействовать только указанными способами. Например, разрешенный трафик может быть ограничен указанным портом;
• Connection security rules — правила безопасности подключения. Этот тип правил определяет, правила аутентификации между двумя одноранговыми компьютерами, которые необходимо соблюсти, прежде чем они смогут установить соединение и обмениваться данными. Фаервол Windows использует протокол IPsec для обеспечения безопасности подключения за счет обмена ключами, проверки подлинности, обеспечения целостности данных и, при необходимости, шифрования данных;
• Authenticated bypass rules — аутентифицированные правила обхода. Этот тип правил разрешает подключение определенных компьютеров или пользователей, даже если входящие правила брандмауэра блокируют трафик. Это правило требует, чтобы сетевой трафик от авторизованных компьютеров аутентифицировался IPsec, чтобы можно было подтвердить личность. Например, вы можете разрешить удаленное администрирование брандмауэра только с определенных компьютеров, создав для этих компьютеров правила обхода с проверкой подлинности, или включить поддержку удаленной помощи со стороны службы поддержки. Правила такого типа иногда используются в корпоративных средах, чтобы разрешить «доверенным» анализаторам сетевого трафика доступ к компьютерам для помощи в устранении проблем с подключением. В правилах обхода перечислены компьютеры, которым разрешено обходить правила, которые в противном случае блокировали бы сетевой трафик. Поскольку компьютер, на котором выполняется сетевой анализ, проходит аутентификацию и внесен в список «разрешенных» в правиле обхода, аутентифицированный трафик с этого компьютера разрешается через брандмауэр;
• Block rules — запрещающие правила. Этот тип правила явно блокирует определенный тип входящего или исходящего трафика;
• Allow rules — разрешающее правило. Этот тип правила явно разрешает определенный тип входящего или исходящего трафика;
• Default rules — правила по умолчанию. Эти правила определяют действие, которое происходит, когда соединение не соответствует никакому другому правилу.

Приоритет и порядок обработки правил

Вот порядок, в котором фаервол Windows обрабатывает различные типы правил. Такой порядок правил всегда соблюдается, независимо от происхождения правила (локальное или из групповой политики). Все правила, в том числе из групповой политики, сначала сортируются и уже затем применяются.

Исходя из порядка обработки, запрещающее правило имеет приоритет перед разрешающим, поскольку они обрабатываются раньше. Сетевой трафик, соответствующий как активному правилу блокировки, так и активному разрешению, блокируется.

Что касается обработки правил одного типа, например разрешающих, то там какого либо порядка обработки и приоритета нет. Ищется любое подходящее правило, если его нет, то применяется правило по умолчанию.

Предопределенные правила

Если зайти в раздел с входящими или исходящими правилами, то мы увидим большое количество уже готовых, предопределенных (predefined) правил. Эти правила предназначены для обеспечения корректной работы операционной системы и ее компонентов. Некоторые правила включены по умолчанию, другие активируются по мере необходимости, например при установке серверной роли.

Для примера возьмем контроллер домена и посмотрим его входящие правила. Как видите, на нем активен набор правил, необходимых для работы Active Directory. Эти правила были активированы автоматически, при установке роли Active Directory Domain Services.

Картинка с сайта: windowsnotes.ru

Особенностью встроенных правил является то, что их нельзя отредактировать. Можно включить или отключить правило, изменить действие (например с разрешения на запрет)

но изменить сами настройки фильтра (протокол, порт и т.п.) невозможно.

Автоматически сгенерированные правила

Еще один тип правил — это правила, автоматически генерируемые системой. Они создаются для каждого пользователя при входе в систему. Их отличительной особенностью является наличие владельца в поле Local User Owner.

Картинка с сайта: windowsnotes.ru

Также как и предопределенные правила, эти правила нельзя отредактировать.

Эти правила назначаются на пакет приложения (Application Packages) для пользователя

Картинка с сайта: windowsnotes.ru

и разрешают для него любой трафик, без ограничений.

Откуда берутся эти правила? Они генерируются приложениями магазина Windows, о чем есть информация в поле Application Package. Сами приложения можно найти в директории C:\Windows\SystemApps.

Картинка с сайта: windowsnotes.ru

Для чего нужны эти правила и что будет, если их отключить или удалить? Какого то более менее внятного описания этих правил я не нашел, но если кратко, то они нужны для взаимодействия приложений с внешними сервисами. Например:

• Work or School account (Учетная запись для работы или учебы) — oбеспечивает связь с учетной записью Azure AD. Если отключить, учетные записи Azure AD могут не работать;
• Your account (Ваша учетная запись) — oбеспечивает связь с облачной службой вашей учетной записи Microsoft. Необходимо для настройки синхронизации учетной записи Microsoft между разными компьютерами;
• Email and accounts (Электронная почта и учетные записи) — oтвечает за синхронизацию учетных записей в приложениях «Почта», «Календарь», «Контакты» и пр.;
• Cortana — требуется для работы Cortana, виртуального ассистента для поиска. Cortana использует внешние сервисы, такие как Bing, и при отключении правила поиск может работать некорректно.

Список приложений, и, соответственно, правил может отличаться на разных компьютерах. На вопрос что делать с этими правилами однозначного ответа нет. Оставлять подобные правила, особенно в корпоративной среде, не очень безопасно. Однако эффективных средств борьбы с ними нет, поскольку правила генерируются автоматически для каждого нового пользователя. Такая вот подлянка от Microsoft.

Правила добавляемые при установке приложений

Откуда еще могут появиться правила на фаерволе? Ну например при установке приложений. Для примера установим Firefox и затем обновим список правил. Как видите, добавилось два новых правила для приложения, одно для TCP,  второе для UDP. С портами морочиться не стали, разрешили все.

Картинка с сайта: windowsnotes.ru

Что интересно, в исходящих правил нет. Т.е. авторы Firefox уверены в том, что весь исходящий трафик не фильтруется. И если ради интереса изменить дефолтное поведение брандмауэра для исходящего трафика и запретить все что не разрешено, то ни один сайт открыть не удастся. Справедливости ради скажу, что это касается не только Firefox, и Chrome и даже встроенный Edge сломаются точно так же.

И если вы захотите контролировать исходящий трафик, то для каждого приложения правила придется создавать вручную. Чем мы и займемся далее.

Правила создаваемые вручную

Для создания правил есть разные способы. Сейчас, для наглядности, воспользуемся графическим интерфейсом. В качестве примера создадим разрешающее правило для исходящего трафика Firefox.

Для создания правила выбираем раздел, кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт New Rule.

Картинка с сайта: windowsnotes.ru

Запускается мастер создания правил, и в первом окне нам надо выбрать тип создаваемого правила. Выбор следующий:

• Program (Для программы) — правило, разрешающего или блокирующее весь трафик для конкретного исполняемого файла, независимо от используемых им протоколов и портов;
• Port (Для порта) — правило для трафика по определенному TCP или UDP порту, независимо от источника. В одном правиле можно указать одновременно несколько портов;
• Predefined (Предопределённые) — здесь мы не создаем новое правило, а выбираем из списка уже имеющихся, предопределенных правил;
• Custom (Настраиваемые) — универсальный тип правила, в котором можно совместить параметры, например указать и программу, и порт.

Для нашего примера выберем настраиваемое правило.

Картинка с сайта: windowsnotes.ru

Выбираем программу, для которой это правило будет действовать. Мы делаем правило для Firefox, поэтому указываем путь к его исполняемому файлу firefox.exe.

Картинка с сайта: windowsnotes.ru

Не все приложения имеют исполняемый файл, некоторые запускаются в виде сервисов. В этом случае можно по кнопке Customize открыть список имеющихся в смстеме сервисов и выбрать нужный.

Картинка с сайта: windowsnotes.ru

В следующем окне указываем протокол и порты, для которых будет работать это правило. Не будем разрешать все, оставим только необходимые для работы браузера порты TCP 80 и 443 (HTTP и HTTPS).

Картинка с сайта: windowsnotes.ru

Дополнительно можно ограничить область действия правила, указав диапазон IP-адресов, как локальных так и удаленных. Например можно разрешить доступ по HTTP только до корпоративных ресурсов.

Картинка с сайта: windowsnotes.ru

Затем выбираем действие для правила. Всего есть три варианта выбора:

• Allow the connection — разрешить подключение.
• Block the connection — заблокировать подключение.
• Allow the connection if it is secure — разрешить подключение если оно безопасно. В этом случае подключение должно соответствовать правилам безопасности подключения (аутентификация, шифрование и т.п.).

Мы делаем простое разрешающее правило, поэтому выбираем первый пункт.

Картинка с сайта: windowsnotes.ru

Выбираем сетевые профили, на которые будет распространяться правило.

Картинка с сайта: windowsnotes.ru

Обзываем правило и сохраняем его. Для того, чтобы правило не потерялось и стояло первым в списке, я обычно ставлю в начале имени точку.

Картинка с сайта: windowsnotes.ru

Правила безопасности подключения

Правила безопасности подключений (Connection security rules) используются для настройки IPSec. При настройке этих правил можно проверять подлинность связи между компьютерами, а затем использовать эту информацию для создания правил брандмауэра на основе определенных учетных записей пользователей и компьютеров.

Правила безопасности подключения не являются самостоятельными правилами, они работают совместно с правилами брандмауэра, дополняя их. Правила брандмауэра разрешают трафик через брандмауэр, но не защищают его. Чтобы защитить трафик с помощью IPsec, необходимо создать правила безопасности подключения. Однако правила безопасности подключения не разрешают трафик через брандмауэр. Для этого требуется создать правило брандмауэра.

Важный момент — правила безопасности подключения не применяются к программам и сервисам. Вместо этого они применяются между компьютерами, составляющими две конечные точки.

А теперь давайте посмотрим, как это выглядит на практике. Для примера возьмем специально созданное правило, разрешающее входящий ICMP-трафик, или, проще говоря, пинг. На данный момент никаких дополнительных ограничений нет и кто угодно может пинговать наш компьютер.

Картинка с сайта: windowsnotes.ru

Давайте это изменим и ограничим доступ только определенной группой пользователей и только с определенных компьютеров. Первое, что для этого надо сделать — это изменить действие правила на Allow the connection if it secure (Разрешить только безопасное соединение).

Затем жмем на кнопку Customize и выбираем критерии защищенности подключения:

• Allow the connection if it is authenticated and integrity-protected (Разрешать подключения, для которых выполняется проверка подлинности и целостности) — разрешить подключение только в том случае, если оно прошло проверку подлинности (аутентификацию) и целостности с использованием IPsec;
• Require the connection to be encrypted (Требовать шифрования подключений) — дополнительно к аутентификации и проверке целостности требуется шифрование;
• Allow the connection to use null encapsulation (Разрешить подключению использовать нулевую инкапсуляцию) — нулевая инкапсуляция позволяет требовать для подключения аутентификацию, но не предоставлять проверку целостности и конфиденциальности. Т.е. можно создавать правила безопасности подключения с указанием аутентификации, кроме защиты от пакетов данных Encapsulating Security Payload (ESP) или Authenticated Header (AH). Эта функция позволяет создать защиту аутентификации в средах с сетевым оборудованием, которое несовместимо с ESP и AH.

Также обратите внимание на чекбокс Override block rules. Выше я говорил о том, что запрещающие правила всегда в приоритете над разрешающими. Так вот, этот чекбокс позволяет обойти запрет.

Теперь  перейдем на вкладку Remote Users и укажем пользователей, для которых это правило должно работать. Пусть это будут члены доменной группы Pingers и Domain Admins.

Затем перейдем на вкладку Remote Computers и дополнительно укажем компьютер, с которого можно производить подключение. В итоге получается, что сервер смогут пинговать только члены групп Pingers и Domain Admins и только с одного единственного компьютера SRV01.

Но это только полдела. Мы создали правило, разрешающее подключение, теперь надо создать правило для его безопасности.

Создаются они так же, как и и обычные правила — выбираем раздел, кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт New Rule. И так же надо выбрать тип создаваемого правила:

• Isolation (Изоляция) — изолирует компьютеры, ограничивая подключения на основе учетных данных, таких как членство в домене или состояние работоспособности. Правила изоляции позволяют реализовать стратегию изоляции для отдельных серверов или доменов;
• Authentication exemption (Освобождение от аутентификации) — можно использовать, чтобы обозначить соединения, не требующие аутентификации. Можно указывать как назначать компьютеры по определенному IP-адресу, диапазону IP-адресов, подсети или предопределенной группе, например шлюзу;
• Server to server (Сервер-сервер) — правило для защиты соединения между конкретными компьютерами. Этот тип правил обычно используют для защиты соединения между серверами. При создании правила указываются конечные точки сети, между которыми защищается связь, а затем  требования и аутентификацию, которую необходимо использовать;
• Tunnel (Туннель) — позволяет защитить соединения между шлюзами, обычно используется при подключении через Интернет;
• Custom (Настраиваемое) — похоже на правило сервер-сервер, но более гибко настраиваемое.

Мы хотим закрыть наш сервер от несанкционированного доступа, поэтому выберем правило изоляции.

Картинка с сайта: windowsnotes.ru

На следующем шаге указываем, когда мы хотим производить аутентификацию:

• Request authentication for inbound and outbound connections option — запрашивать аутентификацию для входящих и исходящих соединений. При выборе этого варианта мы указываем, что весь входящий и исходящий трафик должен проходить проверку подлинности, но соединение будет разрешено в любом случае. Однако если аутентификация прошла успешно, трафик будет защищен;
• Require authentication for inbound connections and Request authentication for outbound connections option — требовать аутентификацию для входящих подключений и запрашивать аутентификацию для исходящих подключений. Это гарантирует, что весь входящий трафик пройдет аутентификацию либо будет заблокирован. При этом исходящий трафик, для которого не удалось выполнить аутентификацию, будет разрешен;
• Require authentication for inbound and outbound connections option — требовать аутентификацию для входящих и исходящих соединений. Самый жесткий вариант, при котором весь входящий и исходящий трафик либо аутентифицируется, либо блокируется.

Для нашего примера выберем первый вариант.

Картинка с сайта: windowsnotes.ru

Затем выбираем метод аутентификации:

• Default  — использовать метод аутентификации, настроенный на вкладке «Параметры IPsec» свойств фаервола;
• Computer and user (Kerberos V5) —  метод «Компьютер и пользователь» (Kerberos V5) использует аутентификацию как компьютера, так и пользователя. Это означает, что можно запросить или потребовать аутентификацию как пользователя, так и компьютера, прежде чем продолжить обмен данными. Напомню, что использовать протокол аутентификации Kerberos V5 можно только в том случае, только если оба компьютера являются членами домена;
• Computer (Kerberos V5) — метод «Компьютер» (Kerberos V5) запрашивает или требует от компьютера пройти проверку подлинности с использованием протокола проверки подлинности Kerberos V5;
• User (Kerberos V5) — метод User (Kerberos V5) запрашивает или требует от пользователя пройти проверку подлинности с использованием протокола проверки подлинности Kerberos V5;
• Advanced — расширенный. Здесь вы можете настроить любой доступный метод. Можно выбрать не только  Kerberos V5, но и NTLM V2, сертификаты и даже общий ключ (для компьютера). Также можно указывать первый и второй метод аутентификации, отдельно для компьютера и для пользователя.

Мы планируем аутентифицировать и компьютер и пользователя, поэтому выбираем второй пункт.

Картинка с сайта: windowsnotes.ru

Ну и дальше все как обычно — отмечаем профили

Картинка с сайта: windowsnotes.ru

даем правилу имя и сохраняем его.

Картинка с сайта: windowsnotes.ru

Теперь дело сделано. Мы создали правило безопасности, в котором описали, какое именно подключение считается защищенным. И правило фаервола сработает только для такого трафика.

Логирование

Начиная с Windows 7 и Windows Server 2008 R2 события брандмауэра Windоws, такие как изменение настроек, создание правил и т.п., пишутся в отдельный журнал Event Viewer\Application and Services Logs\Microsoft\Windows\Windows Firewall with Advanced Security.

Картинка с сайта: windowsnotes.ru

Также у фаервола есть собственный журнал, куда пишутся все попытки подключения. По умолчанию он отключен, и включают его при настройке и отладке правил, либо при наличии проблем с подключением. Включить его можно в свойствах фаервола, в разделе Logging нажав кнопку Customize.

Можно указать путь, по которому будут находиться файлы журнала, задать максимальный размер файла и выбрать, что должно логироваться — неудачные попытки (dropped packets), успешные подключения (successful connection) или и то и другое. Как правило, для диагностики достаточно логировать только ошибки.

Сам журнал представляет из себя обычный текстовый файл с набором полей — время, действие, протокол, порт, адрес клиента и направление трафика. Информации не особо много, но вполне достаточно для диагностики.

Картинка с сайта: windowsnotes.ru

Экспорт, импорт и сброс настроек

Все настройки и созданные правила можно импортировать в файл. Этот файл затем можно использовать для импорта настроек на этот же или любой другой компьютер. Также можно сбросить все настройки к первоначальному состоянию, которое было сразу после установки операционной системы.

Картинка с сайта: windowsnotes.ru

Управление фаерволом с помощью утилиты netsh

Кроме стандартной оснастки управлять настройками фаервола можно и другими средствами. Самое старое и проверенное — это утилита командной строки netsh. Не смотря на свой почтенный возраст очень мощный инструмент для управления сетью, который в числе прочего умеет работать и с фаерволом.

Посмотреть, что нам предлагает netsh для фаервола можно командой:

netsh advfirewall /?

Картинка с сайта: windowsnotes.ru

Для начала произведем экспорт настроек командой:

netsh advfirewall export "C:\Scripts\wf_export.wfw"

Картинка с сайта: windowsnotes.ru

Затем изменим действия по умолчанию для активного профиля, разрешим исходящий трафик:

netsh advfirewall set currentprofile firewallpolicy blockinbound,allowoutbound

И выведем текущие настройки:

netsh advfirewall show domainprofile

Картинка с сайта: windowsnotes.ru

Теперь создадим новое правило для входящих подключений, запрещающее TCP-трафик по 80 порту, назовем его nohttp:

netsh advfirewall firewall add rule name="nohttp" protocol=TCP localport=80 action=block dir=IN

И проверим что получилось:

netsh advfirewall firewall show rule name="nohttp"

Картинка с сайта: windowsnotes.ru

Управление фаерволом с помощью PowerShell

Переходим к более современным средствам управления, таким как PowerShell. Для управления фаерволом в нем есть отдельный модуль NetSecurity. Посмотреть список командлетов в модуле можно командой:

Get-Command -Module NetSecurity

Картинка с сайта: windowsnotes.ru

Продолжим начатое дело 🙂 и выведем и выведем информацию о созданном ранее правиле:

Get-NetFirewallRule -DisplayName "nohttp"

Картинка с сайта: windowsnotes.ru

PowerShell в отличии от netsh не выводит одним командлетом всю информацию о правиле. Так если мы хотим посмотреть настройки фильтра для порта, то надо будет использовать командлет Get-NetFirewallPortFilter, например так:

Get-NetFirewallRule -DisplayName "nohttp" | Get-NetFirewallPortFilter

А если мы захотим изменить настройки фильтра для правила, например запретить 443 порт, то получится вот такая конструкция:

Get-NetFirewallRule -DisplayName "nohttp" | Get-NetFirewallPortFilter | Set-NetFirewallPortFilter -LocalPort 80,443

Картинка с сайта: windowsnotes.ru

Ну и завершим издевательства над правилом, переименовав его в nohttphttps:

Get-NetFirewallRule -DisplayName "nohttp" | Set-NetFirewallRule -NewDisplayName "nohttphttps"

Проверим результат:

Get-NetFirewallRule -DisplayName "nohttphttps"

и удалим злосчастное правило:

Remove-NetFirewallRule -DisplayName "nohttphttps"

Картинка с сайта: windowsnotes.ru

Управление фаерволом с помощью групповых политик

Ну и самый мощный инструмент, с помощью которого можно централизованно распространять настройки фаервола на все компьютеры организации. Раздел с настройками находится в Computer Configuration > Policies > Windows Settings > Security Settings > Windows Defender Firewall with Advanced Security.

Окно настроек выглядит так же, как и у локальной сонсоли. Здесь можно так же установить состояние фаервола и указать действия по умолчанию.

Картинка с сайта: windowsnotes.ru

Дополнительно можно настроить взаимодействие локальных правил с правилами, назначенными групповой политикой. Для этого надо нажать кнопку Customize в поле Settings, и воткрывшемся окне в поле Rule merging выбрать варианты слияния. По умолчанию локальные правила разрешены и обрабатываются вместе с правилами из групповой политики.

В отличии от локальной оснастки в GPO список правил изначально пуст, но сам процесс создания правил абсолютно такой же. Для создания нового правила надо кликнуть правой клавишей на нужном разделе и выбрать New Rule, после чего запустится уже знакомый мастер.

Картинка с сайта: windowsnotes.ru

И созданные правила так же можно открывать и изменять.

Картинка с сайта: windowsnotes.ru

А вот в локальной оснастке изменить или отключить правила, назначенные групповыми политиками, не получится.

Картинка с сайта: windowsnotes.ru

Как и глобальные настройки фаервола. Те параметры, которые назначены с помощью GPO, в локальной оснастке становятся недоступными для изменения.

Картинка с сайта: windowsnotes.ru

Windows Firewall Control

Windows Firewall Control — это оснастка для управления фаерволом Windows от стороннего разработчика Malwarebytes. Распространяется бесплатно, регулярно обновляется и поддерживается. Для скачивания не требуется даже регистрации.

Установка простейшая — запускаем инсталлятор и жмем Install.

После установки можно сразу нажать Run, программа запустится и свернется в трей.

В главном окне программы мы видим состояние фаервола, действия по умолчанию и активный профиль сети. Что интересно, разрешенный по умолчанию исходящий трафик подсвечивается красным.

Картинка с сайта: windowsnotes.ru

В Windows Firewall Control используется несколько другой подход к фильтрации трафика, отличный от стандартного. Мы можем выбрать один из 4 профилей, которые определяют политику доступа:

• High Filtering — запрещены все подключения, как входящие так и исходящие. Этот режим может потребоваться в том случае, если надо полностью изолировать сервер;
• Medium Filtering — входящие и исходящие подключения проверяются на соответствие правилам, не подпадающие под правила подключения блокируются;
• Low Filtering — на соответствие правилам проверяется только входящий трафик, исходящие подключения, не подходящие под действие правил, разрешаются;
• No Filtering — брандмауэр выключен. Этот режим может использоваться в том случае, если на компьютере установлен другой фаервол.

Как видите, по умолчанию предлагается использовать режим Medium, т.е. фильтровать исходящий трафик.

Картинка с сайта: windowsnotes.ru

Но что произойдет в том случае, когда обнаружится попытка исходящего подключения, не предусмотренная ни в одном из имеющихся правил? Это решается настройкой уведомлений в разделе Notifications. Есть три варианта получения уведомлений:

• Display notifications — показывать уведомления. Выбрав этот вариант можно получать уведомления всякий раз, когда новая программа пытается получить доступ наружу;
• Learning mode — режим обучения. В этом режиме автоматически создаются разрешающие правила для приложений, имеющих цифровую подпись, а для тех у кого ее нет выводится уведомление, как в первом случае;
• Disabled  — уведомления отключены. В этом случае, если нет явно разрешающего правила, все подключения будут блокироваться без каких либо уведомлений.

Картинка с сайта: windowsnotes.ru

Если выбрать показ уведомлений, то при каждой попытке подключения будет выводиться окно с информацией —  имя программы и ее исполняемый файл, наличие цифровой подписи, удаленный IP-адрес, к которому осуществляется подключение, используемый протокол и порт. Можно разрешить или запретить подключение для приложения на постоянной основе, либо заблокировать только текущее подключение. А щелкнув по значку приложения в правом верхнем углу, можно отправить исполняемый файл на антивирусную проверку в VirusTotal.

Если нажать Allow the program, то будет создано стандартное правило для приложения, где разрешены все исходящие подключения, на всех протоколах и портах. Если необходимо ограничить подключение, то можно выбрать Customize this rule befor creating и настроить параметры правила вручную.

Панель со списком правил можно открыть, кликнув на значок в нижнем левом углу. Внешний вид панели отличается от привычной оснастки управления, но разобраться можно. Сами настройки правил сгруппированы более компактно, все в одном окне. Довольно удобно, хотя и непривычно.

Картинка с сайта: windowsnotes.ru

Базовые параметры для создаваемых по умолчанию правил можно настроить на вкладке Rules. Здесь же можно экспортировать текущую конфигурацию или импортировать правила из файла.

Картинка с сайта: windowsnotes.ru

А параметры самого Windows Firewall Control  настраиваются на вкладке Options. Здесь можно включить автоматический запуск приложения, встроить его в контекстное меню проводника, назначить сочетание клавиш для запуска панелей и изменить язык интерфейса. Кстати, русский язык в списке присутствует.

Картинка с сайта: windowsnotes.ru

Еще из интересного — есть возможность заблокировать доступ к правилам, поставив пароль на вход.

Картинка с сайта: windowsnotes.ru

При этом перестает открываться и стандартная панель управления.

Принудительное отключение фаервола

Можно ли полностью выключить фаервол, погасив его службу? Если вы попробуете это сделать, то увидите, что все кнопки неактивны, выключить его или изменить режим запуска стандартными средствами невозможно. Но…

Картинка с сайта: windowsnotes.ru

Настройки системных служб хранятся в реестре. В частности настройки фаервола можно найти в разделе HKLM\SYSTEM\CurrentControlSet\Services\mpssvc. За режим запуска отвечает параметр Start, и если изменить его значение на 4 и рестартовать компьютер

Картинка с сайта: windowsnotes.ru

то фаервол не стартует, а останется о отключенном состоянии.

В этом случае станет недоступна и оснастка управления, включить его обратно можно только таким же способом, через реестр.

Картинка с сайта: windowsnotes.ru

Заключение

В заключение скажу, что на данный момент встроенный фаервол Windows представляет из себя довольно мощное и эффективное средство защиты, хотя и специфическое. Из плюсов можно отметить то, что он есть в любой операционной системе Windows и включен по умолчанию. Он довольно гибко настраивается, при желании к нему можно прикрутить аутентификацию, шифрование и еще много всего.

Но основной его проблемой как была, так и осталась фильтрация исходящего трафика. По умолчанию исходящий трафик не фильтруется, и любой зловред, проникнувший в систему, сможет беспрепятственно выходить в сеть. Если же включить фильтрацию исходящего трафика, то для большинства клиентских приложений потребуется явно разрешать подключения, в противном случае они не смогут нормально функционировать. А с учетом всех нюансов настройки это довольно большой объем работ.

Стоит ли заморачиваться с тонкой настройкой или оставить все по умолчанию — решайте сами. Но, в любом случае, наличие включенного фаервола лучше, чем его отсутствие.

Файрвол (Firewall) — это устройство сетевой безопасности, которое отслеживает входящий и исходящий сетевой трафик. Файрвол разрешает или блокирует пакеты данных на основе набора правил безопасности. Часто можно встретить идентичный по смыслу термин Брандмауэр. Также в русском языке встречается написание «фаервол».

С помощью брандмауэра (Firewall) можно ограничить доступ в интернет для всех, кроме конкретных программ. Также можно разрешить соединяться с компьютером, на котором он установлен только из внешней сети или только из внутренней сети, только по определенному порту, с определенных ip-адресов и т.д.

Брандмауэр (Firewall) в windows представляет собой набор правил. Правило это описание разрешения или запрета соединения. Они могут быть входящими и исходящими, регулирующими доступ к этому компьютеру или с этого компьютера в сеть.

Например, если хотите чтобы Ваш сайт был доступен из внешней сети необходимо настроить правило Firewall.

Для настройки Firewall нажмите Win+R и введите в командную строку firewall.cpl.

Картинка с сайта: oblako.kz

Выберите в левом столбце “Дополнительные параметры”.

Картинка с сайта: oblako.kz

В открывшемся окне повышенной безопасности перейдите в раздел “Правила для входящих подключений”, после чего нажмите “Создать правило”.

Картинка с сайта: oblako.kz

Создадим правило для порта 80, также можно создать правило для конкретной программы или использовать стандартное правило для стандартных служб Windows. Можно также создать полностью настраиваемое правило под Ваши нужды.

Картинка с сайта: oblako.kz

Выберем тип протокола для фильтрации трафика, это может быть либо tcp либо udp, порт может быть любой или вообще можно открыть-закрыть все порты.

Картинка с сайта: oblako.kz

Далее определим что именно должно делать правило — разрешать или запрещать трафик по указанным нами на предыдущем шаге портам.

Картинка с сайта: oblako.kz

Укажем для какой сети должно применяться это правило. Доменной, частной или публичной.

Картинка с сайта: oblako.kz

На последнем шаге задайте имя правила. После этого можно соединяться по этому порту.

Картинка с сайта: oblako.kz

На этом настройка Firewall для Windows окончена. Еще больше полезных материалов по Windows вы найдете в нашей базе знаний, а если вы ищите надежный и производительный виртуальный сервер на Windows — кликнете по кнопке ниже.

Последнее обновление: 10.07.2023