Windows 10 Güvenlik Duvarı - Tüm gidenleri reddetmek nasıl yalnızca Windows güncellemelerine izin verir?


2

Hedef:

  • Yalnızca Windows 10 Güvenlik Duvarı kullanın
  • Tüm giden trafiği varsayılan olarak engelle
  • Windows 10 güncellemelerine izin ver
  • Hangi svchost servislerine izin verilir

Şimdiye dek yeni bir kurulumda ilerlemem:

  • Giden trafik varsayılan olarak reddedildi
  • Tüm varsayılan kurallar devre dışı bırakıldı
  • Çekirdek Ağ İletişimi - DHCP-Out: izin verilir
  • svchost TCP (uzak bağlantı noktaları: 80, 443) ve svchost UDP (uzak bağlantı noktası: 53): izin verilir
  • İnternete bağlamak istediğim programlara izin veriliyor

Mevcut yapılandırmamla birlikte, Windows başarıyla güncellenebilir, ancak tüm svchost servisleri (neredeyse 200) internete bağlanabilmektedir. Minimum izin verilen svhost hizmetlerinin sayısını azaltmak istiyorum.

Bağlı svchost hizmetlerini azaltmaya yönelik başka bir girişimde, belirli svchost hizmetleri için farklı kurallar oluşturdum (yukarıda belirtilen genel svchost kurallarını devre dışı bırakırken), ancak Windows güncelleştirmeleri çalışmıyor (izin verilen programlarım çalışıyor.). Bu teşebbüste izin verdiğim svchost hizmetleri:

  • Arka Plan Akıllı Aktarım Hizmeti (BITS)
  • Müşteri Lisans Hizmeti (ClipSVC)
  • Güvenlik Merkezi
  • Orkestratör Hizmetini Güncelle
  • Windows Lisans Yöneticisi Hizmeti
  • Windows Güncelleme Servisi

Svchost TCP (uzak portlar: 80, 443) ve svchost UDP'ye (uzak port: 53) izin vermem ve sonra diğer svchost servislerinin her biri için manuel olarak yeni engelleme kuralları oluşturmam gerekiyor mu (temelde denedim)

Teşekkürler!


Sadece son sorumu geçersiz kıldım. Sadece sınamak için Windows Update - Windows Update blok kuralı eklendi.
ichimok

Yanıtlar:


1

Bunu da anlamaya çalışıyorum. "Windows Güvenlik Duvarı Denetimi" nin yapımcısı "Windows 7'de svchost.exe için hizmet tabanlı kurallar oluşturabilirsiniz, ancak Windows 10'da değil " diyor. Windows güvenlik duvarı gerilemiştir ve sunduğu işlevleri yerine getirememektedir. svchost. Microsoft, her ayın ikinci Salı günü pencere güncellemeleri yayınlar ya da 24 saat verir. Her ay otomatik olarak svchost'u, defans güncellemeleri için ise her gün bir görevi oluşturabilecek bir görev oluşturabilirsiniz; (5-10 dakika) veya sadece manuel olarak yapın. Veya masaüstünüzde talep üzerine çalışan bir görevin kısayolunu oluşturun .

Maceracı hissediyorsanız, örneğin, her şeyi engelleyebilir, paket günlüğünü etkinleştirebilir, her pencere güncelleme sunucusu bağlantısı için ip adreslerini ve bağlantı noktalarını izleyebilir, ardından yalnızca bu belirli ip adresleri için svchost seçeneğine izin verebilir, bu yalnızca izin vermek için daraltacaktır Windows güncelleme. Son 3 haneyi .1 / 24 ile değiştirerek cidr formatı kullanırsanız, zaman içinde değişmeleri durumunda, bu alt ağdaki her ips'e erişebileceksiniz. Bu ipin dışında başka iplerin açıldığını fark ederseniz, bunun windows güncellemesi olmadığını bileceksiniz, birinin svchost şemsiyesi altında manuel olarak tetiklemekten başka hangi program / hizmetin çalıştığını tam olarak nasıl tespit edebileceğinden emin değilim.

İşte Windows Defender Güvenlik Duvarı için bir GUI olan Windows Güvenlik Duvarı Kontrolü'nü kullanan bir örnek. Windows Güncellemeleri için, 99 olarak ayarlanan Grup İlkesi "Dağıtım Optimizasyonu" İndirme Modunu kullanın (yani P2P veya bulut hizmeti yok, yalnızca sunucuları tek başına yayınlar; böylece 1.000.000.000 farklı ips elde edemezsiniz)

Uzak adresler: 65.55.163.1/24,13.74.179.1/24,191.232.139.1/24,20.36.222.1/24,20.42.23.1/24,191.232.139.2/24,20.36.218.1/24,95.101.0.1/24,95.101.1.1 /24,13.78.168.1/24,93.184.221.1/24,13.83.184.1/24,13.107.4.1/24,13.83.148.1/24

Bu senin için windows 10.

görüntü tanımını buraya girin

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.