¿Cómo evitar que Windows Update vuelva a habilitar las reglas de firewall?

¿Cómo evitar que Windows Update vuelva a habilitar las reglas de firewall?

Regularmente, algunos paquetes de Windows Update vuelven a habilitar silenciosamente las reglas de firewall, tanto entrantes como salientes, ¿hay alguna manera de deshabilitar una regla definitivamente o de eliminar de Windows Update el derecho a modificar las reglas de firewall?

(eliminar reglas no sirve de nada, Windows Update las recreará)

Ejemplo de reglas "frívolas" que se siguen reactivando: Lista de lectura de Windows, MSN Sports, Solitaire Collection, Get Office, etc.

Esto es para una máquina con Windows 10 en una red semipública, y AllJoyn, los servidores de transmisión o varios puertos de XBox nunca serán más que problemas de seguridad.

Respuesta1

(Este hilo ocupa un lugar destacado en los motores de búsqueda y, sin embargo, se pasa por alto una solución realmente buena. Es una publicación un poco necro, pero alguien podría encontrarla útil).

Evite utilizar el firewall de Windows como lo haría habitualmente porque es demasiado fácil agregar nuevas reglas. Esto se conoce como "firewall local" y es efectivamente inútil para bloquear la telemetría de aplicaciones, DRM y otros problemas porque, como ha visto, es demasiado fácil para un programa permitirlo.

En su lugar, utilice el firewall de Windows de la política de grupo. Ejecute 'gpedit' como administrador y navegue hastaConfiguración de Windows > Configuración de seguridad > Firewall de Windows Defender con seguridad avanzada.

Tiene el mismo aspecto que el firewall normal (solo que está integrado en la herramienta de política de grupo), pero no se puede modificar mediante scripts. En este punto, revise todas las opciones detenidamente y establezca sus preferencias.

La parte más importante es para cada perfil, haga clic en configuración ydeshabilitar las reglas del firewall localen elfusión de reglassección. No se puede confiar en esas reglas, por lo que no las quiere ahí.

Personalmente, deshabilitaría el "firewall local" por completo y solo usaría el firewall de política de grupo. Es complicado gestionar ambos porque, francamente, es un desastre enorme. Lamentablemente, los de terceros no son mucho mejores. Sin embargo, tenga en cuenta que siempre recomendaría utilizar un dispositivo de firewall dedicado basado en Linux o BSD para cualquier cosa importante. Estos ofrecen reglas ordenadas adecuadas y firewalls con estado, etc.

Respuesta2

TL;DR: No es posible evitar que los programas con acceso de administrador cambien las reglas del firewall.Control de firewall de Windowses un programa que eliminará o deshabilitará automáticamente las reglas del Firewall de Windows que usted no aprobó mediante la función Reglas seguras.

El problema es que cualquier programa que se ejecute con privilegios de administrador puede cambiar silenciosamente las reglas del Firewall de Windows. A Windows Update se unen Firefox, Chrome y muchos otros que se sienten con derecho a garantizar que pueden enviar y recibir tráfico de red sin pedirle permiso.

La mejor solución que he encontrado ha sido utilizarControl de firewall de Windows(WFC) que ha sidoadquirido por Malwarebytesa partir de 2018. Si bien hay otros productos que brindan una mejor interfaz además del Firewall de Windows, este es el único que encontré que resuelve el problema que usted plantea. Tiene una funcionalidad que llama "Reglas seguras" que deshabilitará automáticamente cualquier regla que no haya sido creada por grupos autorizados específicos. Lo tengo para que solo el Control de Firewall de Windows pueda crear reglas. De acuerdo con laguía del usuario, la forma en que funciona es que el Control de Firewall de Windows reciba una notificación cuando se crean nuevas reglas y las deshabilitará si no están en el grupo correcto.

Así es como se ve la configuración

Cuando Chrome se actualiza, intenta agregar una regla. La regla se crea pero se desactiva automáticamente pero WFC. Cuando una actualización de Chrome intenta agregar una regla, se crea pero se desactiva automáticamente

Algunas otras notas:

  • WFC es gratuito pero no de código abierto. Personalmente, estaría encantado de pagarlo (como lo he hecho para probar varios productos de la competencia), pero espero que se siga desarrollando.
  • Personalmente, me gusta mucho cómo me avisa cuando un nuevo programa intenta acceder a la red por primera vez, pero puedo imaginar que esto sería tan molesto como para cualquier producto similar. Tiene el modo de aprendizaje necesario, pero necesitarás tener cierto nivel de conocimiento de redes para configurarlo.
  • Como se encuentra encima del Firewall de Windows, es posible verificar que se bloqueará el acceso a Internet, que es lo que usted desea.
  • Nunca he notado ningún problema de rendimiento.

Respuesta3

Además de la respuesta de @Karsten Pedersen: ingrese la descripción de la imagen aquí

Y, de hecho, puede exportar sus reglas actuales en el FW local a un archivo y luego importarlo al firewall de políticas :-)

Respuesta4

Establezca las reglas del firewall en la política de grupo. Se conservarán entre actualizaciones de funciones: ¿Cómo puedo abrir puertos en el firewall de Windows usando GPO?

Los veo en esta área: Configuración de la computadora -> Plantillas administrativas -> Red -> Conexión de red -> Firewall de Windows -> Perfil de dominio. Hoy en día existen especiales para icmp (ping) y escritorio remoto.

información relacionada