%20en%20el%20firewall.png)
Decidí utilizar un enfoque de lista blanca para proteger mi entorno (es decir, bloquear todas las conexiones entrantes/salientes de forma predeterminada, a menos que se indique lo contrario).
Necesito incluir en la lista blanca algunas aplicaciones de Windows (no todas) como Powershell, cmd y escritorio remoto en el firewall. Sin embargo, simplemente agregar cmd.exe, MSTSC.exe, etc. no funciona. Estoy seguro de que estas aplicaciones tienen ciertas dependencias de otras aplicaciones para la conexión de red, pero no sé cuáles son.
Simplemente incluir en la lista blanca archivos openssh de system32, por ejemplo, no otorga acceso a ssh en PowerShell. Recibo un error de "permiso denegado" en el acceso elevado (al desactivar el firewall se soluciona, por lo que debería solucionarse mediante las reglas de firewall adecuadas).
Abrir puertos no es una opción, porque al abrir un puerto, otras aplicaciones que no me gustan también tendrían acceso a ese puerto. Por ejemplo, quiero hacer curl en cmd, pero no quiero que ninguna otra aplicación tenga acceso al puerto 443.
Además, incluir en la lista negra no es una opción, ya que la gran cantidad de aplicaciones que necesito bloquear supera significativamente estas tres aplicaciones que necesito.
Respuesta1
Windows 11: permita System32/svchost.exe en el firewall, entonces todo funcionará.
PD: aquí hay algunas observaciones sobre svchost.
Curiosamente, después de bloquear este archivo, Windows pierde su funcionalidad de Internet después de unos minutos. Quería ver por qué, así que bloqueé todo excepto este archivo y noté que envía muchos paquetes cifrados hacia Microsoft y algunas IP desconocidas, a pesar de que desactivé la telemetría, la actualización de Windows, etc. en el registro. Después de bloquear svchost, Windows vuelve a intentar enviar esos paquetes; sin embargo, después de unos minutos de falla, toda la conexión a Internet se desconecta.
Eso es interesante, porque parece que algunas aplicaciones como Firefox funcionan sin svhost durante unos minutos, por lo que probablemente no necesitan svhost(?) para acceder a Internet (a diferencia de powershell, que pierde su funcionalidad inmediatamente después de bloquear svhost), pero aun así Windows decide para apagar Internet por completo. Esto también podría estar relacionado con¿El Firewall de Windows bloquea completamente la telemetría de Windows?además, dado que ambas observaciones sobre el comportamiento del firewall son incorrectas. Las IP de Windows no están codificadas en el Firewall (si ese fuera el caso, después de bloquear todo, incluido svhost, todavía podríamos haber visto paquetes tls, pero no es el caso), y tampoco podemos evitar que Windows envíe esos paquetes bloqueando todo, porque svhost, sin embargo, debería estar incluido en la lista blanca del Firewall.